Ne sous-estimez pas les courriels de spam. Les cybercriminels font preuve de plus en plus de créativité pour dissimuler les tentatives de phishing dans les messages. Le phishing est simplement une attaque d’ingénierie sociale qui consiste à envoyer des messages frauduleux prétendant provenir d’une source légitime. Même les personnes qui connaissent bien la technologie peuvent se laisser prendre au piège de ces attaques.

Bien que les fournisseurs de services de messagerie filtrent les courriels indésirables par défaut, vous feriez bien d’évaluer votre boîte de réception manuellement. Après tout, certaines attaques peuvent encore passer entre les mailles du filet. Alors comment repérer un courriel de phishing, c’est-à-dire un faux courriel ? À quoi devez-vous faire attention ?


1. Mises à jour inhabituelles des coordonnées

Faux message d'Amazon demandant des mises à jour d'adresse

Les marques demandent parfois à leurs clients de mettre à jour leurs informations par e-mail. Elles peuvent vous rappeler de changer votre mot de passe, de fournir un deuxième numéro de téléphone ou d’ajouter une nouvelle question de sécurité. De nombreux messages renvoient à de nouvelles pages de connexion.

Bien que la mise à jour des coordonnées soit normale, méfiez-vous des fausses demandes des pirates informatiques. Elles semblent légitimes à première vue. Vous devrez examiner les messages à la recherche d’incohérences, qui apparaissent rarement dans les demandes de mise à jour authentiques.

Examinons l’e-mail de spam ci-dessus. Compte tenu des multiples erreurs grammaticales, logo incorrect design, salutation génériqueet vérification des faux expéditeursil s’agit probablement d’un lien de phishing.

Si vous avez des doutes, visitez vous-même le site Web de l’entreprise via un autre onglet, navigateur ou appareil. Les cybercriminels n’obtiendront vos identifiants de connexion que si vous les saisissez via leurs liens de phishing.

2. Paiements de casino ou de jeux

Faux message de paiement de Big Casino

S’il existe plusieurs jeux de casino en ligne légitimes, il existe également de nombreux sites de paris douteux appartenant à des pirates informatiques. Ils envoient de faux paiements par e-mail à des personnes choisies au hasard. Si vous cliquez sur leurs liens, ils vous demanderont vos coordonnées bancaires afin que vous puissiez soi-disant retirer vos « gains ».

Le message ci-dessus a l’air soigné. La mise en page est simple, la grammaire est correcte et l’horodatage est précis. Vous ne remarquerez pas tout de suite qu’il s’agit d’une arnaque.

Mais en règle générale, évitez de cliquer sur des paiements non sollicités. Aucun casino en ligne n’envoie de paiements aléatoires, surtout à des clients potentiels qui n’ont pas de compte de jeu.

En regardant de plus près, vous verrez que Big Dollar Casino a une terrible réputation. Certains disent qu’il gère un casino en ligne légitime, mais son implication dans des liens d’hameçonnage, des violations de données, des messages de spam et des retraits de fonds retenus vous feront penser le contraire.

3. Invitations à des rendez-vous pour des programmes gouvernementaux

Faux message concernant des programmes de difficultés financières

N’acceptez jamais d’invitations à des rendez-vous discutant de programmes gouvernementaux tels que des subventions et des services d’aide, à moins que vous n’en ayez personnellement fait la demande. Sinon, vous pourriez être victime de voleurs d’identité. Ils profitent des personnes dans le besoin en prétendant offrir des services de secours et en volant ensuite leurs informations personnelles.

Prenons l’exemple de l’e-mail ci-dessus. Il ne comporte pas de message d’accueil personnel, l’introduction semble peu convaincante et les travailleurs sociaux demandent rarement aux demandeurs de les appeler. Il s’agit d’une arnaque. Ne contactez les ministères et les agences gouvernementales que par le biais de leurs lignes d’assistance publiques.

4. Tirage au sort des prix

Prix aléatoire de 50 $ du site HealthyWage

De nombreuses attaques d’ingénierie sociale impliquent des récompenses. Elles utilisent de fausses promesses et des prix fictifs pour inciter les destinataires à divulguer des informations personnelles. L’expéditeur se fait souvent passer pour une marque légitime.

Vérifions l’exemple ci-dessus. Il ne semble pas suspect puisqu’il provient du domaine d’une véritable entreprise, mais Gmail l’a filtré comme spam pour avoir abusé des récompenses.

Toutes les récompenses ne sont pas des cyberattaques. Cependant, vous devriez ne jamais cliquer sur les liens ou télécharger les pièces jointes dans les e-mails, quel que soit l’expéditeur du courriel. Visitez le site Web de l’entreprise si vous créez un compte. Ainsi, même si l’e-mail est une attaque par hameçonnage, le criminel qui se cache derrière ne pourra pas saisir vos informations.

5. Emails presque vierges

Faux message de T-Mobile avec un email vide

Alors que de nombreux courriels de spam trompent les victimes avec des menaces et des récompenses complexes et inventées, d’autres utilisent de courtes phrases d’une seule ligne. Ils ne contiennent souvent que des liens. Le texte d’ancrage utilisera probablement des déclarations étranges et ouvertes pour piquer votre curiosité et vous encourager à visiter leur page.

Évitez d’interagir avec ces messages. N’oubliez pas que les courriels légitimes comportent toujours un message d’accueil, un corps et une conclusion. Aucune marque respectable n’envoie d’e-mails de spam au contenu vague, aux liens aléatoires et aux promesses douteuses.

Mais si vous n’êtes toujours pas sûr, analysez le contenu de la page. Copiez-collez le lien de phishing sur un document séparé et analysez l’adresse. Elle devrait indiquer le site Web source.

6. Vérifications des transactions de la fausse application

Faux paiement de 30 000 $ provenant d'une fausse application de portefeuille numérique.

Des millions de consommateurs préfèrent aujourd’hui utiliser des portefeuilles numériques. Bien qu’ils offrent commodité et sécurité par rapport aux transactions en espèces, ils peuvent vous exposer à des cyberattaques, notamment à l’usurpation d’identité financière.

Le plus gros drapeau rouge dans l’exemple ci-dessus est qu’il n’a pas réussi à copier les protocoles de PayApp. Les messages utilisent un schéma de couleurs différent ; les transactions importantes nécessitent plus que de simples identifiants de connexion ; et aucun portefeuille n’envoie au hasard des notifications de paiement de 30 000 $.

Ne vous fiez pas trop vite aux autres courriels de vos sociétés de paiement en ligne préférées. Les criminels peuvent aussi se faire passer pour eux. Ils gagnent votre confiance en reproduisant des logos et des modèles de messages rapides, puis vous incitent à divulguer des informations lors de fausses transactions.

7. Adresses e-mail factices

Un faux message d'avertissement de piratage de Facebook

Les cybercriminels gagnent la confiance de leurs victimes en se faisant passer pour une entreprise ou un site Web de confiance. Par exemple, ils peuvent se faire passer pour Facebook. Dans l’exemple ci-dessus, vous verrez que l’attaquant inspire la peur à ses destinataires en dupliquant les invites de connexion au compte. L’avertissement présente deux actions. Mais compte tenu de la nature de ce message, les deux mèneront à une fausse page de connexion.

Méfiez-vous de ces messages, ils ont l’air terriblement réels. Vérifiez toujours l’adresse de l’expéditeur, que le message soit arrivé dans votre boîte de réception ou dans votre dossier de spam. Vérifiez s’il mène à une source légitime. Évitez d’interagir avec des comptes factices qui ont de faux domaines, des fautes de frappe, des noms d’utilisateur trop longs ou du leetspeak (abréviations internet jargonnantes).

8. Invitations soudaines à des jeux

Invitations aléatoires à des jeux sur des sites inventés

Méfiez-vous des invitations à des jeux aléatoires. Les escrocs utilisent des récompenses attrayantes (tours gratuits ou pièces) pour attirer votre attention et envoyer des liens de phishing. Ces liens mènent souvent à des jeux de casino aléatoires. Le « jeu » indique que vous avez gagné un prix en espèces avant de vous demander vos informations personnelles et bancaires.

L’exemple ci-dessus semble suspect car il s’agit d’un e-mail vide provenant d’une source inconnue. D’autres modèles plus sophistiqués pourraient essayer de gagner votre confiance en premier lieu en se faisant passer pour des sites de jeux ou des casinos en ligne très connus.

La meilleure pratique serait d’éviter complètement les jeux inconnus. Outre les attaques de phishing, les sites de paris douteux volent également de l’argent en retenant les fonds des joueurs, en vendant des informations personnelles et en diffusant des logiciels malveillants.

Repérer les courriels de spam et de phishing en un coup d’œil

Prenez l’habitude de relire vos e-mails. Ne cliquez pas sur des liens aléatoires, évitez de télécharger les fichiers joints et vérifiez l’adresse de l’expéditeur avant d’accepter un message. En cas de doute, contactez votre fournisseur de services postaux.

Notez que toutes les tentatives de phishing n’utilisent pas les mêmes méthodes. Les cybercriminels ont plus d’un tour dans leur sac. De nombreux e-mails ne ressemblent pas aux photos ci-dessus, mais ils devraient néanmoins vous mettre la puce à l’oreille. Vous risquez de tomber dans le panneau si vous êtes négligent. Pour réduire davantage votre vulnérabilité au phishing, familiarisez-vous avec d’autres signes révélateurs d’une cyberattaque.