Repérer et déjouer une tentative de phishing : mode d'emploi

D’après une étude Cloudfare publiée en 2023 et basée sur l’observation de près de 13 milliards d'e-mails traités sur une période d'un an, le phishing continue de se développer et de se diversifier. Les liens trompeurs constituent la méthode de phishing numéro un, représentant près de 36 % des menaces. Alors, de quoi s’agit-il ? Et comment lutter contre ce type de menace ?

Qu'est-ce que le phishing ?

Le phishing (ou hameçonnage) consiste à adresser un email ou un SMS avec une apparence légitime à une personne, en vue de lui extorquer des informations personnelles (coordonnées bancaires, identifiants de connexion…). Ces informations sont ensuite utilisées à des fins criminelles. Elles peuvent notamment servir à voler de l’argent (par exemple, en effectuant un virement frauduleux depuis votre compte bancaire) ou être commercialisées auprès de pirates sur le dark web.

Quelles sont les différentes techniques de phishing ?

Le phishing par mail est une des techniques les plus courantes, mais on peut également citer le phishing de sites Internet, qui consiste à reproduire un site légitime à quelques détails près, ou encore le phishing par réseaux sociaux, qui a pour but de gagner la confiance des utilisateurs à travers de faux profils. Plus récemment, c’est le phishing par QR code qui a fait son apparition.

5 points à vérifier avant de cliquer sur un lien ou une pièce-jointe

Dans leurs messages, les cybercriminels insistent sur l’urgence ou le caractère grave d’une situation. Ils vous indiquent par exemple que vous avez prétendument oublié de régler une dépense importante (des impôts, une contravention…) ou vous font part d’une soi-disant erreur financière en votre faveur (trop-perçu d’impôt à rembourser, frais bancaires…).

Afin de régulariser la situation, une pièce-jointe corrompue ou un lien frauduleux est souvent présent dans le corps de l’e-mail ou du SMS qui vous est adressé. Après avoir cliqué, il est souvent trop tard. Pour prévenir ce type de situation, voici cinq points indispensables à vérifier avant de cliquer sur un lien :

• Vérifiez l’adresse de l’expéditeur et, notamment, l’extension (« .fr », « .com »…). Si les différences sont parfois infimes, cette adresse n’est pas l’adresse officielle de l’organisme derrière lequel le pirate tente de se dissimuler (banque, impôts, caisse de sécurité sociale, La Poste…).

• Regardez également le nom de l’expéditeur. Par exemple, si le pirate tente de se faire passer pour votre conseiller bancaire mais utilise un autre nom que celui de votre conseiller habituel, le doute est permis.

• Étudiez attentivement la construction de l’e-mail ou du SMS. Mauvais logo, fautes d’orthographe, mentions de bas de page fantaisistes : là encore, de petites subtilités doivent attirer votre attention et vous permettre de déjouer une arnaque.

• Prenez connaissance des notifications envoyées par l’antispam de votre messagerie ou votre antivirus.

• Méfiez-vous des objets d’e-mails ou de SMS trop alléchants. Une promotion trop tentante, une somme d’argent qui tombe du ciel : ne vous laissez pas berner !