Cet article est également disponible en : Anglais

Comment repérer une tentative de phishing

Cet article est également disponible en : Anglais

Parfois, cela saute aux yeux. Un prince nigérian vous demande de lui transférer 2 000 euros ? Vous n’allez certainement pas tomber dans ce piège. Et si le PDG de votre entreprise vous invite à lui communiquer les informations de votre carte bancaire par e-mail ? Il en va de soi, c’est louche. Mais souvent, le phishing est plus difficile à repérer.

Le phishing est une technique courante qui consiste à se faire passer pour un tiers de confiance (comme une banque ou une administration) afin de voler les données personnelles des internautes, notamment leur numéro de carte bancaire, leur nom d’utilisateur ou leur adresse e-mail.

Vous pourriez recevoir un e-mail apparemment envoyé par Netflix, vous demandant de vous connecter à votre compte afin d’éviter la résiliation de votre abonnement. Ou Amazon pourrait vous proposer un chèque-cadeau par SMS, vous invitant à saisir vos identifiants pour en profiter. Lorsque ça a l’air trop beau pour être vrai, c’est probablement le cas. Tout indice qui éveille votre suspicion mérite votre vigilance.

Comment éviter le phishing ?

Les tentatives de phishing utilisent souvent un scénario pour vous inciter à saisir vos données sensibles.

Voici les formes les plus courantes :

  • E-mails
  • SMS
  • Appels téléphoniques
  • Faux sites Web

Possible objet de ces messages :

  • L’expéditeur prétend avoir détecté une activité suspecte sur votre compte
  • Un remboursement ou un code promo
  • Une invitation à confirmer vos données personnelles
  • Une fausse facture

Les indices qui doivent vous alerter

Caractère urgent de la demande
Les pirates informatiques jouent souvent sur le sentiment d’urgence, comme la menace d’interruption d’un service utilisé. Par exemple, un e-mail de phishing envoyé par quelqu’un se faisant passer pour votre banque, ou une autre institution financière, pourrait vous demander de saisir vos informations de paiement afin de « confirmer votre compte » et d’éviter que ce dernier ne soit fermé. Pas de panique. Tout élément qui vous semble étrange ou alarmant mérite d’être examiné.

Manque de personnalisation
Étant donné que les cybercriminels envoient souvent des centaines d’e-mails à la fois, le manque de personnalisation indique à son tour qu’il peut s’agir d’une arnaque. Restez particulièrement vigilant(e) si l’e-mail ne comporte ni votre nom ni votre nom d’utilisateur, ou encore s’il s’adresse à vous avec la simple mention « Client » ou « Titulaire du compte ».

Fautes d’orthographe ou de grammaire
Si le corps de l’e-mail reçu comporte des fautes de grammaire ou d’orthographe, il s’agit très probablement d’une tentative de phishing, et non d’une communication officielle envoyée par le service de confiance que vous avez l’habitude d’utiliser.

Actions à effectuer

Vérifiez l’adresse e-mail de l’expéditeur
Les cybercriminels ont l’habitude de créer des comptes de messagerie très similaires aux adresses e-mail officielles des entreprises dont ils usurpent l’identité. À titre d’exemple, l’expéditeur d’un e-mail de phishing se faisant passer pour Amazon utilisera une adresse telle que « comptes@mazoneurope.com ». Ici, le « A » d’Amazon manque dans l’adresse e-mail.

Survolez les liens contenus dans l’e-mail reçu
Avant de cliquer, vérifiez si l’adresse est correcte. En cas de doute, évitez surtout de cliquer sur le lien ou d’ouvrir les pièces jointes.

Si vous pensez qu’il s’agit d’un faux site Web, vérifiez l’URL et la présence du préfixe « https:// »
À l’instar des adresses utilisées pour envoyer des e-mails de phishing, l’URL d’un faux site Web ressemble à s’y méprendre à celle d’un vrai site. Vérifiez si l’URL comporte des fautes d’orthographe, des mots inhabituels ou encore des caractères spéciaux avant ou après le nom de l’entreprise. L’adresse URL doit commencer par le préfixe « https:// » et non « http:// ». Toute entité légitime vous demandant de saisir vos informations de paiement disposera d’un site Web sécurisé, comme l’indique la lettre « s » dans « https ».

Pour tester votre capacité à reconnaître une tentative de phishing, n’hésitez pas à répondre au quiz proposé par Google.

Test de phishing proposé par Google

Prochaine étape ?

Pour protéger vos comptes dès aujourd’hui, vous pouvez activer la double authentification. Les pirates informatiques auront ainsi beaucoup plus de mal à s’emparer de vos comptes, même s’ils obtiennent votre mot de passe.

Mais il existe une solution encore plus fiable, qui consiste à utiliser un gestionnaire de mots de passe. En plus de créer des mots de passe forts et de les stocker, Dashlane vous alerte en cas de faille de sécurité, vous permettant de changer les mots de passe compromis et de protéger vos comptes. Profitez d’un essai gratuit dès aujourd’hui.

    Dashlane

    L'application Dashlane simplifie chaque aspect de votre vie numérique. Elle vous permet de générer des mots de passe forts et aléatoires pour chacun de vos comptes et de saisir automatiquement vos identifiants, données personnelles et informations de paiement en toute sécurité. Dashlane peut être utilisée sur tous vos appareils et est compatible avec les principaux systèmes d'exploitation pour vous offrir une navigation plus simple, plus rapide et plus sécurisée.

    En savoir plus