Les courriels frauduleux sont l’une des techniques de cyber-attaque les plus utilisées aujourd’hui, avec un taux de réussite de plus de 90 % pour l’obtention d’informations confidentielles ou de détails de paiement. Vous connaissez probablement ce type de fraude sous le nom de « phishing ». Ce terme dérive du mot anglais « fishing » (pêche) et est toujours lié à la capture active de données.
Le cybercriminel envoie de manière aléatoire à différents utilisateurs, professionnels et particuliers, des communications électroniques fausses ou frauduleuses. Dans ces communications, la méthode la plus courante consiste à usurper l’identité d’un contact de confiance, qu’il s’agisse d’un proche (patron, membre de la famille, ami) ou d’une entité importante (banque, administration publique, compagnie d’assurance, entreprise de services publics).
Il peut également s’agir de fausses vérifications de connexion sur des plateformes (par exemple Amazon, Facebook, Netflix, etc.) ou de demandes de changement de mot de passe. Cela permet de s’assurer que l’utilisateur qui reçoit le courrier électronique ne soupçonne pas qu’il s’agit d’un faux et commet une erreur telle que télécharger un fichier, cliquer sur un lien, fournir des données ou se connecter via un faux site web.
Cela peut conduire à l’installation déguisée d’un virus ou d’un logiciel malveillant qui endommage l’ordinateur et les informations, ou à la collecte de contacts, de mots de passe et de toute autre donnée à laquelle le cybercriminel veut accéder.
Comment éviter cela ?
- La règle d’or reste de se méfier de toute communication inhabituelle et de procéder à une« double vérification ». Pour en avoir le cœur net, nous devons contacter l’expéditeur supposé (notre patron, un parent, une banque, etc.) par d’autres moyens officiels, pour lui demander si le courrier reçu est bien réel.
- Ne faites rien d’autre avant d’avoir vérifié ce qui précède. Cela signifie ne pas télécharger de fichiers ou d’images, ne pas cliquer sur des liens et surtout ne pas saisir de données personnelles ou de mots de passe sur des sites web liés.
- Nous pouvons vérifier les liens sans cliquer dessus et éviter ainsi de saisir des données sur un faux site web. Pour ce faire, il suffit de passer la souris sur le lien, sans cliquer directement. En faisant cela, vous verrez qu’un message apparaîtra avec le nom original du site web vers lequel le lien redirige et vous pourrez vérifier s’il s’agit d’un site officiel ou d’un site frauduleux.
- Si vous avez des doutes sur le contenu d’une communication, ne répondez pas à l’e-mail. Cela pourrait alerter le cybercriminel, qui pourrait alors utiliser d’autres moyens pour nous piéger à nouveau (comme le Vishing, des appels téléphoniques frauduleux, ou le Smishing, de faux messages textuels ou Whatsapp).
- Ne vous contentez pas de l’omettre ou de la supprimer. Si nous avons vérifié ce qui précède et que nous avons détecté la fausseté de la communication sur l’un des points, nous ne devons pas la supprimer purement et simplement. Nous devons notifier cet incident à l’équipe d’assistance informatique au travail et, au niveau personnel, au fournisseur technologique du service de courrier électronique (Microsoft, Google, etc.), afin qu’ils puissent l’analyser, le résoudre et que nous puissions continuer à utiliser ce service en toute sécurité, à la fois pour nous-mêmes et pour les autres utilisateurs.