Le « phishing » est une escroquerie qui consiste à récupérer des informations auprès des internautes à leur insu. Cela concerne généralement les coordonnées bancaires ou les identifiants et mots de passe de différents comptes en ligne.
Ce néologisme nous provient de l’anglais fishing (pêcher) et de la contraction avec phreaking, qui désigne le piratage de lignes téléphoniques. Les pirates informatiques utilisent donc des emails faussés comme « appât » pour « pêcher » des mots de passe et des informations sensibles.
- Identifier les tentatives de hameçonnage
- Émetteur : le premier réflexe à adopter est de vérifier qui est l’émetteur lorsque vous recevez un email « officiel » d’une banque ou d’un service en ligne. Qui vous envoie cet email? Comment ont-ils obtenu votre adresse email? Avez-vous déjà été en contact avec cette marque ou ce service? Affichez l’adresse de l’émetteur dans son intégralité et comparez-la avec les emails précédents que vous avez reçus. Si vous constatez des différences, soyez sur vos gardes.
- Un ton impersonnel : le ton d’un email et la formulation vous aident également à déceler les tentatives de hameçonnage. Généralement, les marques et les prestataires de services utilisent un ton personnel pour s’adresser à leurs clients et utilisent des formules de politesse qui reprennent le nom du destinataire. Si vous recevez par exemple un email qui commence par « Mesdames et Messieurs » ou autres formulations vagues, c’est un mauvais signe. Les marques et services en ligne de confiance connaissent votre nom et prénom, et privilégient donc une approche plus personnelle.
- Grammaire et orthographe : si l’email que vous avez reçu est truffé de fautes de grammaire, d’orthographe ou de formulations maladroites, vous pouvez être assuré qu’il n’a pas été rédigé par le service de communication d’une entreprise. C’est un indice clair pour une tentative de hameçonnage. Il arrive également souvent que le texte ait été rédigé dans une autre langue, et transposé dans votre langue par un service en ligne de traduction automatique. Un autre indice est l’absence d’accents et de caractères spéciaux.
- Liens : un email qui contient des liens n’est pas forcément un indice de phishing. Méfiez-vous tout de même systématiquement avant de cliquer sur un lien en vérifiant vers quel site il mène. Pour cela, glissez le curseur sur le lien sans cliquer dessus, l’adresse Web s’affichera. Correspond-elle à la marque ou au service indiqué ? Des dispositifs de sécurité comme HTTPS, qui garantissent la sécurité de l’échange de données, sont-ils présents ? En cas de doutes, abstenez-vous de cliquer sur le lien.
- Saisie de données : aucun service en ligne digne de confiance ne demande à ses clients et prospects de transmettre leurs données ou des informations par email. Un formulaire HTML qui demande des données telles que des identifiants ou mots de passe est un indice indubitable pour identifier les tentatives de phishing. Il ne faut également jamais communiquer ses codes PIN, que ce soit par email ou encore au téléphone.
- Pièces jointes : méfiez-vous également des emails qui contiennent des pièces jointes. La règle de base est de ne jamais ouvrir ou télécharger de pièces jointes d’émetteurs inconnus. Ces pièces jointes peuvent contenir des programmes malveillants tels que des virus ou un cheval de Troie, qui peuvent infecter votre ordinateur ou accéder à vos données sensibles. Après cela, vous ne pourrez plus effectuer des transactions bancaires ou visiter des boutiques en ligne sans craintes.
- La pression : faites attention également si un email vous invite à effectuer une transaction financière dans l’urgence. Généralement, les pirates informatiques incitent les internautes en leur faisant ressentir une pression pour les inciter à effectuer une transaction dans la précipitation. En cas de doute, appelez le Service Client du service ou de la marque en question.
Que faire lorsque l’on reçoit un email de phishing ?