Hameçonnage : Quand le poisson, c’est nous…

 

L’hameçonnage (phishing) est une technique de fraude par courriel en deux étapes. Tout d’abord, on reçoit un envoi non sollicité, qui vient prétendument d’une entreprise ou d’un site Web. Ce message nous demande de suivre un lien menant à une page Web où l’on doit entrer des informations personnelles comme notre nom d’utilisateur, notre mot de passe ou notre numéro d’assurance sociale. Cette page est un faux : elle reproduit à l’identique, avec les couleurs, les logos et le style, une page d’un vrai site. Les informations qu’on y entre sont récupérées par le fraudeur.

Tout comme le pêcheur lance sa ligne sans savoir si un poisson va mordre, l’hameçonneur ne sait pas si vous faites affaire avec l’entreprise qu’il imite. Il prend une chance. C’est la masse imposante de courriels envoyés qui fait que la manœuvre est rentable.

Au Québec, le Mouvement des caisses Desjardins est l’entreprise qui a été la plus touchée par le phénomène. Le grand nombre de ses membres en a fait une cible de choix. « Nous avons été victimes de notre popularité, croit Nathalie Genest, des relations de presse du groupe. Aujourd’hui, le volume de courriels frauduleux en circulation est sensiblement le même mais, grâce à la prévention, beaucoup moins de gens se font prendre. » Quatre-vingt douze pour cent des tentatives d’hameçonnage concernent des institutions financières, mais la technique ne vise pas seulement les banques. Des sites comme Amazon et PayPal, où le profil des usagers contient des informations sur leur carte de crédit, en sont aussi victimes.

Quelques conseils pour ne pas mordre à l’hameçon lorsqu’on reçoit un courriel douteux :

  • « Est-ce que ma banque a mon adresse courriel ? » Elle ne peut logiquement pas nous envoyer de message si on ne la lui a pas donnée. Si on ne l’a jamais fait, c’est un bon indice qu’il s’agit d’une tentative d’hameçonnage.
  • Il ne faut pas céder à la peur. Si le courriel raconte que notre compte ne sera bientôt plus valide, qu’il faut absolument fournir certaines informations pour ne pas avoir à payer de frais et que le message insiste sur l’urgence de la situation, il s’agit certainement d’une ruse. Les banques ne contactent pas leurs clients par courriel pour des menaces de poursuite, des problèmes de compte ou pour tout ce qui exige une réponse immédiate.
  • Les entreprises soignent généralement leurs communications et évitent d’y laisser traîner des fautes d’orthographe. Ce n’est pas le cas de tous les pirates…
  • La plupart des banques ont cessé de mettre des liens dans leurs envois électroniques. S’il y en a, méfiance… Il faut savoir qu’un lien peut être « déguisé » : ce n’est pas parce qu’il est écrit « https://www.pointcomme.com/ » que c’est vraiment à cette adresse que mène le lien. Si l’on suit un lien, il faut observer la barre d’adresse avant d’entrer quelque information que ce soit. Il est préférable d’écrire soi-même l’adresse de sa banque ou d’utiliser un signet.
  • Il faut examiner l’adresse de provenance du courriel, et pas seulement le nom qui y est associé. L’attention est de mise, car les fraudeurs sont astucieux. Une adresse qui peut sembler fiable, comme [email protected] est parfois travestie en [email protected].
  • On ne doit pas ouvrir les pièces jointes. C’est d’ailleurs une règle qui vaut pour tous les courriels dont la provenance est incertaine

Si le fraudeur arrive à soutirer suffisamment d’informations à un utilisateur, il peut aller jusqu’à voler son identité en se servant de son nom et de sa réputation pour des activités criminelles.

Bref, en cas de doute, on doit appeler sa banque. Elle sait mieux que quiconque ce qui se trame dans un compte.


https://lactualite.com/images/science/technouille/tech_sui.jpg

 
/images/science/technouille/tech_sui.jpg
Lisez aussi: L’hameçonnage vocal, Phishing 2.0

 

LIENS

La GRC a mis en ligne un guide extrêmement détaillé sur la fraude en ligne

 

Revenir à la section Technouilles

Laisser un commentaire