Ces dernières années, la cybercriminalité connaît une nette hausse, qui a culminé en un pic consécutif à la pandémie de la COVID-19. Face à la menace grandissante et quotidienne de ces attaques informatiques, la vigilance est de mise, et doit se doubler de la connaissance des mécaniques qui accompagnent ces tentatives de fraude. Quelques réflexes à connaître doivent vous permettre de réagir et de signaler ces agissements aux autorités compétentes.
Qu’est-ce que le « phishing » ?
Également appelé hameçonnage en français, le « phishing » consiste en une tromperie qui, en imitant une page internet piratée ou en usurpant l’identité d’un tiers identifié, cherchera à vous soutirer des informations. Celles-ci seront à leur tour, exploitées pour un autre piratage (celui de vos données bancaires, de vos identifiants par exemple, qui pourront être revendues au marché noir).
Savoir reconnaître un mail frauduleux
À différencier du « spam », ou courrier publicitaire non désiré, le mail frauduleux vise à récupérer vos données personnelles, voire de l’argent, en incitant à ouvrir un fichier infecté ou à cliquer sur un lien. Les cybercriminels copieront parfaitement la source (organisme bancaire, administration, entreprise connue), reprenant les logos et la charte graphique. Ce type de mail emprunte régulièrement un visuel qui se veut officiel et sérieux, sans démarche commerciale clairement exprimée. Deux principes émotionnels tendent à pousser la victime à l’action : la peur (une erreur à rectifier au plus vite, une situation présentée comme préoccupante) et la générosité (qu’il s’agisse d’une récompense qui vous est prétendument offerte ou d’un don réclamé). Pour endormir votre méfiance, la plupart du temps ces manœuvres d’escroquerie (nommées « scams » en anglais) réclament de votre part une réaction rapide, technique de persuasion bien connue pour faire basculer la réflexion, et qui doit d’emblée vous alerter.
L’objectif du pirate à l’origine du document est de se faire passer pour une entité rassurante, mais quelques détails trahiront la fraude : l’insistance sur certaines phrases, répétées, parfois même rédigées en
lettres capitales, ou dans une couleur vive ; la multiplication de points d’exclamation ; la présence d’erreurs syntaxiques, de fautes d’orthographe. Enfin, sachez que même en cas d’incident technique ou de problème de mise à jour, un organisme ou une entreprise légitime ne vous demandera pas de compléter vos données personnelles depuis un mail ou un lien à cliquer. Ne répondez sous aucun prétexte. En cas de doute, rendez-vous sur leur site officiel et procédez à des démarches de renseignement.
Sachez que de plus en plus de fraudeurs affinent leurs méthodes, et mettent désormais en place des manœuvres plus élaborées : vous pourrez recevoir un mail qui semblera provenir de votre propre entreprise, transitant via les VPN, (ce sont les réseaux privés virtuels mis en place par chaque société pour ses employés), dont l’expéditeur sera un contact, vous invitant à consulter une pièce jointe. En réalité, le fichier inclus sera infecté et dès son ouverture il récupèrera les mots de passe et données privées.
Comment se protéger du « phishing » ?
L’ouverture et la lecture en tant que telles d’un courriel frauduleux n’est normalement pas risquée, si vous vous limitez strictement à cela (même s’il sera préférable de le supprimer directement). Mais, de manière générale, il ne faut jamais renseigner ses données personnelles sur un site envoyé en hyperlien dans un courriel. Ces opérations ne se font pas par ce biais. N’ouvrez pas non plus la moindre pièce jointe, sauf si vous étiez en attente de la recevoir, et que l’expéditeur est sûr. Apprenez également à traquer les incohérences dans les liens mêmes du mail : en plaçant votre souris sur l’adresse, attendez l’affichage du lien, vous pourrez constater s’il est cohérent ou suspect.
Enfin, puisque les fraudeurs exploitent les failles techniques et s’y insinuent, pensez à garder à jour les logiciels que vous utilisez, vos pare-feu, anti-virus, anti-espion, ainsi que la version de votre navigateur internet. C’est une protection préalable dont on ne peut se passer.
Comment signaler une tentative d’escroquerie sur internet ?
Si vous pensez avoir identifié une tentative d’escroquerie, signalez à votre opérateur la réception d’un tel message, surtout s’il imite leur source. Signalez également la manœuvre à la plateforme Signal Spam : après
une inscription gratuite sur leur site, et le téléchargement d’une extension (qui protègera votre messagerie en plus de faciliter vos signalements ultérieurs en un seul clic), la CNIL sera à même de diligenter des enquêtes et des contrôles. Par ailleurs, il existe une cellule gouvernementale dédiée à la surveillance et à la lutte contre ces pratiques illicites, et ce, que les pirates agissent sur le sol national ou depuis l’étranger : la plateforme PHAROS, à laquelle vous aurez accès sur le site :
www.internet-signalement.gouv.fr
Les services de police judiciaire prendront en charge le suivi de ces sites internet malveillants.
Comment signaler un mail frauduleux