Nous avons vu quels signaux d’alerte indiquent indubitablement que quelqu’un essaie de vous arnaquer. Pourtant, il n’est pas toujours facile de détecter immédiatement qu’il s’agit d’une fraude. Ainsi, avant de faire un virement ou de saisir les renseignements de votre carte bancaire, vous devriez faire quelques efforts et prendre le temps de vérifier vos messages et les sites. Pour vous aider, nous vous invitons à suivre ces huit conseils.
1. Vérifiez l’adresse e-mail
Avant de cliquer sur le lien qui apparaît dans le message ou de répondre, vous devez analyser de plus près le champ « De ». Ce dernier se divise en deux parties : le nom de l’expéditeur et la véritable adresse e-mail (point le plus important). Le nom de l’expéditeur peut être n’importe lequel, et les escrocs s’en servent pour utiliser le nom de l’entreprise pour laquelle ils se font passer.
En revanche, il est beaucoup plus difficile de remplacer l’adresse e-mail (le texte avec @) et c’est là que les escrocs peuvent commettre une erreur. Dans la plupart des arnaques par e-mail, la véritable adresse de l’expéditeur est complètement différente de celle de l’entreprise, ou y ressemble mais n’est pas identique : un ou plusieurs caractères ont été modifiés (lettre « O » au lieu du chiffre « 0 »), un mot a été ajouté, etc.
Vous avez détecté une faute de frappe ou quelque chose d’étrange ? L’adresse de l’expéditeur n’a aucun sens ? Ne répondez pas, ne cliquez sur aucun lien et mettez le message directement dans le dossier Spam.
2. Analysez les liens reçus par e-mail
Si le message contient un hyperlien ou un bouton comme « Obtenez un bon de réduction », « En savoir plus » ou tout autre appel à l’action, vérifiez toujours ce qui se cache derrière.
Si vous passez le pointeur de votre souris sur le lien ou le bouton (tout en faisant bien attention à ne pas cliquer par erreur), vous pourrez voir l’adresse de la ressource Web que les expéditeurs veulent vous faire visiter. Recherchez le site officiel de l’entreprise dans un moteur de recherche et comparez l’URL avec celle du lien que vous avez reçu par e-mail. Si l’adresse ne correspond pas et que, par exemple, le domaine du lien est différent (.org ou autre au lieu de .com), n’ouvrez pas la page.
Tant que vous y êtes, ouvrez le site officiel qui apparaît dans les résultats de recherche et regardez si on y parle d’une réduction, d’un cadeau ou d’une promotion, comme le message que vous avez reçu le dit. Si ce n’est pas le cas, il s’agit d’une arnaque.
3. Regardez le certificat de sécurité du site
Certains caractères se ressemblent tellement qu’il est difficile de faire la différence à l’œil nu. Ainsi, nous vous expliquons comment vous pouvez rapidement vérifier à qui appartient le site une fois que vous l’avez ouvert. Prenons l’exemple de Google Chrome (les éléments du menu peuvent différer selon le navigateur) :
- Cliquez sur le cadenas à gauche de l’URL.
- Sélectionnez La connexion est sécurisée dans la fenêtre qui s’ouvre.
- Choisissez Certificat valide.
- Vérifiez que le champ Délivré à contient le nom de l’entreprise propriétaire du site.
Le cadenas indique que le site est certifié par une organisation indépendante et que les données reçues et envoyées sont chiffrées. Nous avons vu que le certificat le confirme. L’obtention d’un certificat est assez facile, mais il est impossible de le faire en se faisant passer pour une entreprise. Si le nom de l’entreprise ou de l’organisation apparaît dans le certificat, vous pouvez vous y fier ; vérifiez juste que le nom est correct.
Et s’il n’y a pas de cadenas ? Cela signifie que les données envoyées et reçues par le site ne sont pas protégées et qu’elles peuvent être interceptées par les propriétaires du site et par n’importe quel tiers. Saisir des données confidentielles sur ce site est une très mauvaise idée.
4. Vérifiez qui a enregistré le domaine et quand
Vous pouvez obtenir plus de renseignements sur le domaine du site en utilisant le service Whois. Il donne des informations sur toutes les adresses IP actuelles et sur les noms du domaine. Saisissez l’URL que vous voulez vérifier dans le champ correspondant et vérifiez quand le domaine a été enregistré et par qui.
La date à laquelle le domaine a été enregistré apparaît dans la ligne « Registered On ». Si un site affirme être la ressource officielle d’une entreprise renommée ayant un long historique, et que Whois montre que la page n’existe que depuis quelques mois, alors c’est une arnaque.
Il convient aussi de voir à quel nom le domaine a été enregistré. Les coordonnées du propriétaire sont disponibles dans la section « Registrant Contact ». Si l’entreprise est sérieuse, son nom devrait apparaître à cet endroit-là, ainsi que son adresse, son numéro de téléphone et d’autres renseignements.
Si le site prétend appartenir à une grande entreprise mais que Whois affiche « Private Person » dans le champ du propriétaire, alors la ressource n’est pas fiable. Il n’est pas surprenant que le domaine soit au nom d’une personne, mais si le site affirme qu’il appartient à une grande organisation, ce renseignement devrait éveiller vos soupçons.
5. Vérifiez le contenu du site
Analysez minutieusement le site : s’il n’y a qu’une ou deux pages, il est fort probable que ce soit un faux. Les cybercriminels utilisent des sites économiques et simples pour vendre des fausses entrées au Burning Man, pour tromper les investisseurs en crypto-monnaie ou pour offrir des PlayStation 5. Les sites officiels des entreprises comptent toujours diverses sections qui apportent des informations utiles : actualité, histoire, produits et services, associés, etc.
6. Ajoutez les sites importants aux favoris
Ajoutez les sites que vous consultez régulièrement à vos favoris et ouvrez-les uniquement à partir de là. Vous évitez ainsi d’ouvrir accidentellement une fausse page. Cette méthode est particulièrement importante lorsqu’il s’agit de sites sur lesquels vous saisissez des informations personnelles : réseaux sociaux, services bancaires en ligne, plateformes d’échange de crypto-monnaie ou e-mail de clients. Vous pouvez ajouter un site aux favoris en cliquant sur l’icône de l’étoile, à droite de la barre d’adresse.
7. Faites extrêmement attention lorsque vous effectuez un paiement ou un virement
Évidemment, si vous ouvrez le site pour lire un article ou regarder une vidéo cette étude minutieuse n’est pas nécessaire. En revanche, si vous envisagez de saisir des informations de paiement, vous devriez le faire à chaque fois. L’adresse du site est-elle bizarre ? La page contient-elle des fautes de frappe ou des éléments étranges ? La page a-t-elle son propre certificat SSL (voir ci-dessus) ? Ne saisissez vos données que si tout est en règle.
8. Choisissez des professionnels
Même les utilisateurs les plus prudents peuvent se tromper. La bonne nouvelle ? Vous pouvez automatiser la vérification du site en utilisant une solution de sécurité fiable qui vous protège contre les spams, l’hameçonnage et la fraude en ligne. La solution détecte et bloque n’importe quelle menace en temps réel.