Le phishing, que cachent les e-mails ?


Nous vous l’avons répété des centaines de fois, il ne faut pas ouvrir des pièces jointes ou cliquer sur des liens provenant d’e-mails d’expéditeurs inconnus. Votre curiosité peut vous jouer de mauvais tours, et ces mauvais tours arrivent souvent plus vite que vous ne le pensez. Retour sur les grands pièges liés aux e-mails : aujourd’hui, le phishing.

1. Qu’est-ce que le phishing ?

Le phishing est un moyen de dérober des données personnelles de type mot de passe ou identifiants bancaires, en usurpant l’identité d’une personne ou d’un service.

2. Méthode d’action

Le plus souvent, les cyber-criminels se font passer pour des services susceptibles de vous contacter par e-mail comme eBay, Facebook, des services de téléphonie, des banques, etc. Il y a encore quelques mois, les e-mails de phishing contenaient encore beaucoup de fautes d’orthographe et de grammaire pour être crédibles, mais cela est dorénavant de moins en moins le cas, les attaques de ce types étant non seulement plus ciblées mais également de bien meilleure qualité.

phishing edf

Remboursement, facture impayée, erreur de versement, compte sur le point d’être fermé, etc. : tous les prétextes sont bons pour vous tromper et vous rediriger vers un faux site Web.

Ces sites malveillants présentent très souvent des adresses/URL peu crédibles (les pages de phishing sont hébergées sur des sites amateurs piratés au préalable) mais sont la plupart du temps graphiquement irréprochables : normal, ce sont des copies « visuelles » des vrais sites – à la différence que rien n’est réellement cliquable.

phishing edf
phishing edf

Dans cet exemple, seul le formulaire est interactif, le reste n’est qu’une image JPG – une capture d’écran du véritable site.

Sur le plan technique, certains faux formulaires sont assez bien travaillés pour détecter des renseignements erronés.

Et voilà, suite à un message alarmiste il aura suffit de quelques minutes pour que vous ayez  fourni certaines de vos données personnelles, de votre numéro de téléphone à votre numéro de carte bancaire, en passant par votre adresse postale. Souvent, vos identifiants et mots de passe sont aussi récupérés par les pirates.

3. Comment détecter ce type d’arnaque

  • * Soyez tout d’abord méfiant lorsque vous recevez un e-mail d’un expéditeur que vous ne connaissez pas.
  • * Cela ne suffit toujours pas, notamment dans le cas où vous recevez un e-mail d’un service auquel vous avez bien souscrit. Dans ce cas précis, vérifiez si certains éléments ne vous semblent pas étranges : images de mauvaise qualité, fautes d’orthographe, mots non traduits. Une entreprise ne vous demandera jamais vos identifiants de connexion et mots de passe depuis un e-mail.
  • * En cas de doute, allez sur le site officiel du service via votre navigateur Web, sans cliquez sur le lien contenu dans l’e-mail.
  • * N’hésitez pas à faire des recherches sur Internet pour vérifier si une alerte au phishing a été lancée auprès du service.
  • * Dans tous les cas, vous pouvez appeler le service pour des précisions.
  • * Enfin, ne vous fiez pas à l’adresse e-mail de l’expéditeur, puisque celui-ci peut utiliser un masque pour cacher sa véritable adresse e-mail :phishing 3

 

Pour vous protéger contre ce type d’arnaque, vérifiez que votre solution de sécurité est bien mise à jour.