Quel est le point commun entre les messages ayant pour objet « Vous avez gagné un million d’euros » et « Votre compte a été bloqué » ? Il s’agit presque toujours d’une arnaque. L’objectif est de convaincre le destinataire pour qu’il clique sur un lien qui le redirige vers un site d’hameçonnage et y saisisse des informations confidentielles : identifiant et mot passe ou encore renseignements bancaires. Cet article vous explique comment détecter l’hameçonnage et comment vous protéger.
1. Lisez minutieusement vos e-mails
Lorsque vous recevez un message, ne répondez pas sans réfléchir et ne suivez pas les instructions données. Vous devez d’abord chercher certains signes qui révèlent qu’il s’agit d’hameçonnage. Quels sont les signaux d’alerte ?
- Un objet dramatique. Les thèmes les plus courants sont le virement d’une somme importante, une indemnisation financière, un compte piraté ou bloqué, ou encore une transaction frauduleuse. Il s’agit de sujets qui attirent l’attention et provoquent une réaction émotive, tout en jouant avec la peur ou la cupidité.
- La gravité de la situation. Les expressions comme « Dernier avertissement » ou « Il ne vous reste plus que 3 heures » ainsi que l’utilisation excessive des points d’exclamation cherchent à vous faire agir dans la précipitation, à vous faire paniquer et à vous faire baisser la garde.
- Erreurs, fautes d’orthographe et caractères étranges dans le message. Certains cybercriminels rencontrent de réelles difficultés pour écrire en anglais, même si d’autres se trompent délibérément et écrivent » milion » ou utilisent les caractères d’autres alphabets pour déjouer les filtres anti-spam.
- Adresse de l’expéditeur incohérente. Une adresse e-mail avec des lettres et des chiffres choisis au hasard ainsi qu’un nom de domaine incorrect indiquent sans aucun doute que le message est faux, surtout lorsque l’expéditeur dit vous contacter au nom d’une grande entreprise.
- Liens dans le message, le cas échéant, ou site vers lequel ils vous redirigent, pour être plus précis. Vous pouvez vérifier un lien en passant le pointeur de votre souris par-dessus et en lisant minutieusement l’adresse. Les cybercriminels espèrent que la victime ne remarque pas les légères modifications apportées au nom de l’entreprise ou de la marque connue. Par exemple, com ou qoogle.com. Analysez chaque lien avec attention.
Dans la plupart des cas, ces vérifications devraient être suffisantes pour remarquer qu’un e-mail fait partie d’une arnaque d’hameçonnage de masse. Pourtant le nom et l’adresse de l’expéditeur peuvent être imités, les liens peuvent être raccourcis pour être illisibles, et des chaînes de redirection automatique peuvent être mises en place pour que, dans un premier temps, l’adresse Web soit moins suspecte que celle du véritable site d’hameçonnage. Ainsi, de façon générale, il vaut mieux éviter de cliquer sur les liens reçus par e-mail, sauf si vous avez demandé à les recevoir. Par exemple, si vous recevez un message de votre banque ou d’une boutique en ligne, appelez l’entreprise pour vérifier.
Vous pouvez aussi voir si un gain est réel en cherchant sur un moteur de recherche le site officiel de l’entreprise qui offre soi-disant ce prix. Vous y trouverez alors toutes les informations relatives au gain. Ce ne sont que quelques exemples, mais notre conseil ne change pas : si vous voulez vérifier le lien d’un e-mail que vous n’avez pas demandé à recevoir, utilisez d’autres méthodes.
2. Restez sur vos gardes lorsque vous utilisez une application de messagerie ou les réseaux sociaux
Les e-mails ne sont pas la seule chose dont vous devez vous méfier. Les messages reçus via les applications de messagerie ou sur les réseaux sociaux sont tout aussi dangereux. Vous pouvez trouver des liens malveillants dans les publications Facebook de vos amis, dans les commentaires laissés par de faux ambassadeurs de marque sur Twitter ou par messages privés sur Discord.
Faites aussi attention aux bannières publicitaires. Les images affichées pourraient n’avoir aucun lien avec le site vers lequel vous êtes redirigé. Les plateformes sur lesquelles les bannières sont publiées ne contrôlent pas ce que les utilisateurs voient ou le site vers lequel ils sont redirigés. Même un site très bien réputé peut afficher les publicités d’un site d’hameçonnage.
Que pouvez-vous faire ? Tout comme avec les e-mails, vérifiez minutieusement chaque adresse et, si possible, ne suivez pas ces liens.
3. Prenez le temps de réfléchir avant de saisir des informations bancaires
Les détails de votre carte de crédit sont particulièrement sensibles puisqu’ils permettent d’accéder directement à vos économies. Peu importe comment vous êtes arrivé sur le site, vous devriez vérifier à nouveau sur quelle page vous êtes avant de communiquer ce genre de renseignements.
Tout d’abord, analysez l’adresse. Là encore, vous devez faire attention aux signaux habituels : fautes de frappe, chiffres au lieu de lettres, traits d’union à des endroits inattendus et nom de domaine étranges Si vous remarquez une de ces choses, abandonnez le site et entrez l’adresse manuellement.
Ensuite, dans la barre d’adresse, cliquez sur l’icône du cadenas à gauche. Rien ne garantit que le site est sécurisé, mais grâce à lui vous pouvez en savoir plus sur le propriétaire du site (chaque navigateur utilise un nom différent pour cette option, comme « Certificat » ou « Sécurisé »).
Si vous achetez beaucoup en ligne, y compris auprès de petites entreprises ou de particuliers, nous vous conseillons d’utiliser une autre carte bancaire. N’y gardez qu’une petite somme d’argent et faites un virement juste avant de finaliser l’achat. Ainsi, même si les informations de votre carte sont volées, vous ne risquez pas de perdre beaucoup d’argent.
4. Utilisez des mots de passe différents
Si vous utilisez le même mot de passe pour plusieurs comptes, même s’il est très complexe, vous risquez de mettre tous vos comptes en péril si vous le saisissez sur un site d’hameçonnage. Il est primordial d’utiliser un mot de passe unique pour chaque site et application.
Si vous avez du mal à imaginer et à vous souvenir de tous les mots de passe créés pour chaque pizzeria ou boutique en ligne, vous pouvez utiliser un gestionnaire de mots de pots de passe qui les créent, les gèrent et les utilisent.
Le gestionnaire de mots de passe agit aussi comme contrôle supplémentaire dans la prévention de l’hameçonnage. Si vous ouvrez une application ou un site et constatez que votre identifiant et votre mot de passe n’ont pas été saisis automatiquement, alors il s’agit probablement d’un faux. À vos yeux il ressemble très certainement au site officiel, mais si l’adresse est différente le gestionnaire de mots de passe ne va pas saisir les renseignements.
Ensuite, le gestionnaire de mots de passe génère des mots de passe difficiles à pirater.
Enfin, certains gestionnaires de mots de passe ont d’autres fonctions utiles. Par exemple, Kaspersky Password Manager vérifie vos mots de passe et vous avertit s’ils ont été divulgués, utilisés pour d’autres comptes ou inclus dans une base de données de mots de passe compromis.
5. Activez l’authentification à deux facteurs pour protéger vos comptes
Les attaques d’hameçonnage cherchent généralement à pirater les comptes. Même si les cybercriminels obtiennent votre identifiant et votre mot de passe, vous pouvez encore les empêcher de se connecter à votre compte en activant l’authentification à deux facteurs, si cette option est disponible. Lorsque c’est fait, vous aurez besoin d’un code de vérification temporaire lors de chaque connexion. Vous pouvez le recevoir par e-mail, par SMS ou via une application d’authentification. Les escrocs n’en ont pas.
N’oubliez pas que les cybercriminels peuvent créer de fausses pages de connexion qui demandent aussi de saisir un code unique d’authentification à deux facteurs. C’est pourquoi il vaut mieux utiliser une authentification basée sur un hardware et qui utilise une clé USB, comme YubiKey ou la clé de sécurité Titan de Google, pour protéger les comptes importants.
Certains authentificateurs se connectent aux dispositifs mobiles grâce au NFC ou en Bluetooth. L’avantage de la clé de sécurité basée sur un hardware est que le code secret ne sera jamais divulgué sur un site frauduleux. Le site doit envoyer la bonne demande pour obtenir la bonne réponse de la part de l’authentificateur, et seul un vrai site sait comment faire.
6. Installez une solution de protection fiable
Il est difficile de faire toujours attention, de ne rater aucun signal d’alerte et de vérifier chaque adresse, lien… Vous pouvez automatiser ce travail et faire confiance aux solutions de sécurité, comme Kaspersky Security Cloud, qui vous protègent contre l’hameçonnage. Cette protection basée sur le Cloud vous avertit immédiatement si vous essayez d’ouvrir un site malveillant et bloque la menace.