Vérifier une information douteuse reçue par e-mail ou Internet - Fiches pratiques
La technique de "l'hameçonnage" ou également appelée "filoutage" (en anglais, on appelle cela le « phishing ») fait référence aux e-mails qui essaient d’obtenir de manière frauduleuse des informations personnelles. En apparence, l’e-mail semble provenir d’une société ou d’une personne sérieuse, mais ce n’est pas le cas.
L'arnaqueur se fait passer pour un tiers de confiance : votre banque, votre opérateur téléphonique, votre fournisseur d'énergie, le centre des impôts... Il vous envoie un e-mail pressant à connotation alarmiste (« Votre compte va expirer »; « Votre paiement a été refusé » ; « Pour éviter des pénalités de retard... » ; « Dans les plus brefs délais » ; « Suspension de votre compte »...). Dans cet e-mail, il vous demande de cliquer sur un lien. Quand vous cliquez sur ce lien, vous arrivez sur un site pirate qui ressemble pourtant à un vrai site. Sauf que les informations confidentielles que vous allez renseigner seront enregistrées par le criminel. Le pirate pourra ainsi réutiliser vos données personnelles ou les vendre sur le marché noir.
Ne communiquez jamais par e-mail (à moins d'être sûr du destinataire) un mot de passe personnel ou un numéro de carte bancaire.
Alors quels sont les réflexes à adopter quand on reçoit un e-mail qui semble suspect ?
Vous pouvez recevoir plusieurs types d'e-mails frauduleux :
- Un ami ou une personne que vous ne connaissez pas est bloqué en "Pays au choix" et vous demande de payer une somme pour lui venir en aide…
- Vous recevez un e-mail vous disant que vous avez été piraté, et on vous demande une rançon (souvent en monnaie virtuelle comme le Bitcoin) pour que des informations compromettantes ne soient pas divulguées sur Internet ou à vos proches…
- Un e-mail avec le logo de votre banque, de votre FAI, des impôts... vous enjoint à cliquer sur un lien pour valider ou mettre à jour vos coordonnées, pour régulariser une facture ou tenter de gagner un superbe cadeau... Ces e-mails sont souvent liés à un site frauduleux clonant un vrai site.
Généralement les webmails arrivent à identifier très vite ce genre d'e-mails et les classent en indésirables. Mais si un e-mail vous semble douteux, voici ce à quoi il faut être attentif pour repérer la fraude :
1 Regarder la mise en forme et les erreurs.
Souvent, il est possible de démasquer un e-mail frauduleux rien qu'en examinant sa mise en forme ou en lisant le texte.
Voici quelques points à vérifier :
- si l'e-mail n'a pas une structure alignée ou des tailles de textes différentes.
- si une phrase est coupée en plein milieu pour aller à la ligne.
- si la ponctuation est mauvaise.
- si la monnaie utilisée n'est pas la bonne (par exemple des dollars à la place d'euros).
- si l'e-mail est bourré de fautes d'orthographe ou de conjugaison.
- si les logos des institutions sont de vieux logos.
Il est fort peu probable que des institutions comme le Ministère des Finances Publiques ou EDF fassent des erreurs aussi grossières. Pour autant, les pirates ont appris à améliorer leurs e-mails et, même si l'e-mail a une bonne apparence, il existe d'autres techniques pour déceler si un e-mail est frauduleux.
2 Vérifier l'adresse e-mail de l'expéditeur.
a. Trouver le détail surprenant.
Bien souvent, ces e-mails frauduleux utilisent un design similaire et une adresse e-mail proche de celle d'un site internet ou d'une institution digne de confiance et vous invitent à vous connecter de toute urgence.
Par exemple, vous recevez un e-mail d'EDF vous indiquant qu'il y a un problème avec votre facture car vos coordonnées bancaires ne sont pas à jour. Pour régler le problème au plus vite et ne pas avoir d'impayé, on vous invite à cliquer sur un lien dans l’e-mail. Au moment où vous cliquez sur ce lien frauduleux, vous arrivez sur un site internet qui imite également le site officiel. Vous rentrez vos coordonnées personnelles et, sans vous en rendre compte, vous voilà piégé, vous avez été hameçonné !
Voici quelques exemples de fausses adresses e-mail qui ressemblent fortement à l'officielle comme par exemple :
- @impots.gRouv.fr
- @edff.fr
- @operator-free.fr
Méfiez-vous, surtout si l'e-mail a été envoyé par une adresse bizarre comme mdfqftquim@switercapeso.com.
b. Exemple d'un e-mail frauduleux.
Ici, on voit que l'adresse e-mail est "service@free.fr". Pourquoi Free enverrait-il un e-mail de la part du service des Impôts ?
Une société chez qui vous êtes abonné ne vous demandera pas vos coordonnées bancaires ou des informations personnelles sur vous. De plus, un opérateur internet n'a pas besoin de quoique ce soit vous concernant car il a déjà vos informations personnelles (communiquées lors de votre inscription). De plus, on ne vous contactera pas par e-mail mais plutôt par courrier postal ou lors d'un rendez-vous en tête-à-tête.
3 Vérifier l'adresse URL du site internet via un moteur de recherche.
Dans ces e-mails vous êtes invité à cliquer sur un lien. À tout moment, vous pouvez vérifier l'adresse URL du site officiel en faisant une recherche du site en question sur un moteur de recherche (Ordissinaute.fr, Google, Yahoo).
Les sites internet les plus souvent usurpés sont :
- eBay,
- Paypal,
- les fournisseurs de gaz/électricité,
- les opérateurs téléphoniques,
- les banques,
- la CAF,
- les impôts,
- les banques.
Plutôt que de cliquer directement sur le lien de l'e-mail (même si celui-ci vous parait honnête), passez la souris dessus (l'adresse du lien apparaît en bas de votre page). Vous verrez alors que le lien est étrange. Le lien DOIT ÊTRE SÉCURISÉ (donc commencer par https:// et non par http://).
De plus, il faut voir si l'adresse du lien est plausible. Par exemple : le lien http://www.societegeneral.fr est faux car ce n'est pas un site sécurisé et il manque un "e" à "societegeneral(e)".
Vous pouvez aussi écrire le nom du site dans la barre de recherche internet afin de tomber sur le site officiel et comparer l’orthographe des liens. Les liens qui apparaissent dans l'e-mail peuvent forcer l'ordinateur à télécharger un logiciel qui vous espionnera. On peut également vous demander d'écrire votre identifiant et votre mot de passe, de cette manière on piratera plus facilement vos comptes. Donc, même si le site vous semble officiel avec un logo et une interface ressemblante, il y a de fortes chances pour qu'il soit faux.
Si jamais vous avez un doute sur un e-mail envoyé où l'on vous demande le paiement d'une facture, n'hésitez pas à contacter directement l’entreprise par téléphone.
4 L’e-mail ne vous est pas adressé personnellement.
La plupart de ses e-mails sont des e-mails anonymes que les pirates envoient au hasard en espérant que les gens mordent à l'hameçon : « Cher client », « Cher abonné », « Madame, Monsieur », etc.
5Comment réagir ?
Surtout ne paniquez pas, vous n’êtes pas le seul à recevoir ce genre d’e-mails. Voilà comment réagir :
- Il ne faut pas répondre.
- Il ne faut pas payer.
- Ne cliquez jamais sur un lien envoyé dans un e-mail.
- Si un numéro de téléphone est indiqué dans l'e-mail, il ne faut pas téléphoner.
L'e-mail envoyé par les arnaqueurs est envoyé automatiquement à des millions d'adresses e-mail en espérant tomber sur des personnes crédules. N'ayez pas peur car, malgré ce que le message dit, le pirate n'a pas pu hacker votre ordinateur.
Pour rappel, les ordinateurs Ordissimo ne peuvent pas attraper de virus et aucun logiciel malveillant ne peut s'installer dessus.
Ces messages ne sont que des tentatives d’arnaque, il ne se passera rien de plus.
6Signaler un site d'hameçonnage.
Lorsque vous recevez une tentative de "phishing", pensez à le signaler aux autorités compétentes. Cela permettra aux personnes non renseignées de ne pas tomber dans le "piège" de ces gens malveillants.
Voici trois liens pour signaler ces tentatives (gérés ou recommandés par le Ministère de l’Intérieur) :
- https://www.internet-signalement.gouv.fr : permet de signaler les contenus illicites (pédophilie, trafic d’armes ...)
- https://www.signal-spam.fr : permet de renforcer la sécurité internet et d'identifier les spammeurs (personne qui envoie les messages indésirables).
- http://www.phishing-initiative.com : permet de dénoncer les adresses des sites phishing francophones.