Les spams et l’hameçonnage vont souvent de pair. Les escrocs réalisent des envois massifs dans le but d’obtenir des informations sur les destinataires. Pour eux, les informations personnelles des utilisateurs sont, encore et toujours, une ressource très recherchée et prisée, comme en témoignent les histoires constantes, publiées par les médias, qui retiennent l’attention du public, et l’analyse de notre propre flux de spams. Les spams utilisent généralement l’hameçonnage par e-mail, et les méthodes d’ingénierie sociale, pour essayer d’accéder à vos comptes, ou aux numéros de vos cartes bancaires.
Dans cet article, nous analysons cinq méthodes généralement utilisées par les escrocs.
1. Fausses notifications des réseaux sociaux
Les escrocs envoient de façon active de fausses notifications, et se font passer pour les célèbres réseaux sociaux. Il s’agit souvent de nouveaux amis, de leurs activités, de leurs commentaires, de leurs « j’aime », et de bien d’autres choses. Il est généralement impossible de les distinguer des vrais messages. La seule différence est qu’ils contiennent un lien d’hameçonnage, et qu’il est parfois difficile de s’en rendre compte. Lorsque les utilisateurs suivent le lien, on leur demande alors de saisir leur identifiant et leur mot de passe sur une fausse page de connexion.
Une autre variante assez courante concerne les messages soi-disant envoyés par les réseaux sociaux, mais cette fois il s’agit de menaces qui prétendent, par exemple, avoir détecté une activité douteuse sur votre compte, ou qu’une nouvelle fonction a été mise en place, et que les utilisateurs qui ne donnent pas leur accord seront bloqués. Quoiqu’il en soit, le message contient sûrement un bouton avec un lien qui vous dirige vers une page de connexion d’hameçonnage.
2. Hameçonnage bancaire
L’hameçonnage, qui cherche à obtenir les informations des cartes bancaires des utilisateurs, reste encore le genre d’arnaque le plus courant. Les escrocs peuvent envoyer de faux messages en utilisant le nom des banques, ou de certains systèmes de paiement. L’objet du message le plus fréquemment utilisé communique le blocage du compte, ou la détection d’une « activité douteuse » sur le compte personnel du client.
Les escrocs demandent à l’utilisateur de saisir les informations de ses cartes bancaires, y compris le code CVV/CVC, sur une imitation du site Internet de la banque, sous prétexte de restaurer l’accès, de confirmer son identité, ou d’annuler une transaction. Après avoir reçu ces données, les criminels prennent immédiatement tout l’argent gardé sur le compte de la victime. Ils procèdent de la même façon avec les systèmes de paiement, mais dans ce cas, ils demandent seulement aux victimes de se connecter à leur compte.
3. Fausses notifications de services et vendeurs populaires
De même, ils créent de fausses notifications en utilisant les noms de marques de boutiques en ligne, de services de livraison, de sites de réservation, de plateformes multimédia, de sites Internet consacrés à la recherche d’emploi, et de bien d’autres services en ligne connus. Les cybercriminels comptent sur les curieux qui reçoivent ces spams, ou du moins sur les personnes qui recourent à ces services et ont peu de connaissances, puisque ces utilisateurs vont probablement paniquer et toucher, ou cliquer sur ce qu’ils voient.
4. Fausses notifications des services de messagerie
Les escrocs utilisent ce genre de spam pour recueillir les identifiants et les mots de passe des services de messagerie. Ils utilisent souvent un de ces deux prétextes : ils demandent aux utilisateurs de restaurer leur mot de passe, ou leur offrent plus d’espace dans leur boîte e-mail, qui est soi-disant pleine. Dans ce dernier cas, le lien d’hameçonnage leur promet un accroissement considérable de leur capacité de stockage, ce qui n’éveille pas leurs soupçons puisque nous vivons dans l’ère du cloud computing, et que nous avons un besoin croissant de conserver de plus en plus de données.
5. Arnaque « à la nigériane »
Enfin, les escrocs utilisent encore une des méthodes les plus anciennes : ils vous promettent la fortune d’un proche, ou celle de l’avocat d’un millionnaire décédé, en échange d’un paiement initial. L’histoire change légèrement lorsque l’escroc se fait passer pour une personne célèbre qui connaît certaines difficultés. Ils promettent aux victimes une importante récompense si elles acceptent d’aider ce pauvre millionnaire à retirer les fonds bloqués sur plusieurs comptes bancaires. Pour ce faire, les victimes doivent, bien évidemment, d’abord envoyer certaines informations détaillées les concernant (passeport, données du compte, etc.), puis réaliser le transfert d’une modeste somme d’argent pour couvrir les frais d’administration.
La liste des méthodes et sujets favoris des spammeurs ne s’arrête pas là, mais les cinq techniques décrites auparavant sont les plus efficaces, et par conséquent les plus courantes.
Ne tombez pas dans le piège
Le meilleur conseil que nous pouvons vous donner est de faire attention. Cependant, c’est assez vague, alors voici l’essentiel :
- Lorsque vous recevez un message relatif à une notification, de la part d’une entreprise ou d’un service, vérifiez qu’il a été envoyé à partir d’une adresse authentique. Si l’on prend l’exemple de Google, le message devrait provenir de no-reply@accounts.google.com, et non de no-reply@accounts.google.scroogle.com, ou de toute autre adresse similaire.
- Si vous suivez un lien reçu par message, là encore, vérifiez qu’il vous a bel et bien redirigé vers le bon site Internet, et non vers une imitation.
- Utilisez une solution de sécurité fiable avec une protection antispam et anti-hameçonnage. Cet outil détecte les e-mails frauduleux, et vous en averti clairement.