Quelles solutions contre le phishing et les escroqueries sur le web?

Quelles solutions contre le phishing et les escroqueries sur le web?

Le Phishing, hameçonnage, c’est quoi?

Le Phishing ou hameçonnage en français, est une technique utilisée par des pirates leur permettant de dérober vos données privées telles que vos identifiants, mots de passe , numéro de carte bancaire, etc.

Le pirate envoi des mails à des centaines, milliers voire millions d’adresses en se faisant passer pour une société telle que votre banque, PayPal, Ebay, EDF, la CAF, l’ONU, etc. Dans ces mails, ladite société vous demandera par exemple de mettre à jour vos coordonnées bancaires ou d’accéder à votre espace client pour payer une facture. Le tout accompagné d’un lien vous permettant de corriger la situation.

Ce lien vous mène sur un site internet qui reproduit exactement le même design que le site officiel. Vous ne vous doutez de rien, entrez vos données et hop! Les pirates ont vos informations.

Comment se protéger des arnaques sur le web?

La technique du Phishing est simple à mettre en place pour les pirates. Un faux site, un faux mail et c’est parti.

S’en protéger est tout aussi simple. Il suffit de connaître les bonnes pratiques à adopter sur le web.

Reconnaître un mail frauduleux

Plusieurs appâts peuvent être présents dans un mail frauduleux:
- un lien vers un site frauduleux
- une pièce jointe frauduleuse / contenant un virus

Avant de cliquer sur un lien ou télécharger un fichier dans un email, il y a plusieurs vérifications à opérer:

1. Est-ce que l’adresse mail de l’expéditeur vous semble bizarre?
La partie d’une adresse mail après le « @ » doit correspondre au nom du site officiel de la société.

Si vous n’êtes pas sûr de la validité de l’email de l’expéditeur, passez à la suite. Nous vérifierons l’email plus tard si besoin.

2. Est-ce que le contenu du mail comporte des erreurs?
Les mails frauduleux comportent souvent une ou plusieurs de ces caractéristiques:
- erreurs de grammaire et d’orthographe. Les pirates sont doués pour copier un design, mais pour ce qui est de l’orthographe, ce n’est pas ça.
- formules anonymes comme« Cher client », « Madame, monsieur », etc.
- de l’urgence. Le contenu du mail vous invite à agir dans les plus brefs délais? Les annonces d'un risque de perdre de l'argent, d'être la cible d'une plainte pénale ou de se voir bloquer un compte ou une carte de crédit sont douteuses.

En principe, aucune entreprise sérieuse ne demande à ses clients de lui fournir un mot de passe ou des données de carte bancaire par courriel ou par téléphone.

3. Est-ce que le lien présent dans le mail est frauduleux?
En passant votre souris sur un lien dans un mail, vous devriez voir L’URL de ce lien.
Si cette URL ne ressemble pas à une URL du site officiel de la société, il faut se méfier.
Préférez toujours accéder à un site en tapant son URL dans votre navigateur ou via une recherche Google.
Petite astuce: Enregistrez dans vos favoris les sites importants comme votre banque, le site des impôts, etc. Vous irez plus vite pour les retrouver et y accéder directement.

4. Est-ce que la pièce jointe dans le mail est frauduleuse?
Pour ce qui est des pièces jointes, vous pouvez vérifier l’extension du fichier.
Les fichiers potentiellement dangereux sont souvent des fichiers exécutables de type .bat, .exe, .com, .vbs, .cmd, .scr.
C’est-à-dire que lorsque vous allez l’ouvrir, le fichier va lancer un programme sur votre ordinateur ou téléphone afin d’y introduire un virus permettant de voler des fichiers, informations, prendre le contrôle de la machine, etc.
Si vous avez un antivirus sur votre machine, faites-lui analyser le fichier avant de l’ouvrir.

En conclusion:
Si vous reconnaissez un des points précédents dans un mail:
- ne cliquez sur aucun lien
- ne téléchargez pas les pièces jointes
- ne répondez pas au mail
- ne transférez pas le mail

Vous avez un doute?
Prenez contact ou rendez-vous directement sur le site ou l’application de la société pour vérifier votre situation.
N’oubliez pas de supprimer le mail si vous n’en avez pas besoin.

Reconnaître un site frauduleux

Le phishing ou les arnaques sur le web peuvent vous amener sur un site frauduleux sans que vous le sachiez ou ne l’ayez voulu.
Prenez donc quelques réflexes à avoir lorsque l’on se balade sur internet pour éviter les arnaques:

1. Vérifier le protocole HTTPS
Regarder dans votre navigateur si l’url du site commence par « https ».
Si le protocole HTTPS est actif sur le site, cela signifie que vos données sont cryptées lorsqu’elles sont envoyées au serveur.

C’est un gage de sécurité, mais insuffisant pour être sûr de la légitimité du site.

2. Vérifier l’orthographe
Lisez quelques textes pour voir si le site comporte des fautes d’orthographes ou de grammaires.
Si le site est rempli de fautes, méfiez-vous!

3. Vérifier les mentions légales
Un site professionnel est obligé d’afficher les mentions légales en mentionnant notamment la raison sociale de l’entreprise, son adresse de courrier et un numéro de téléphone.

4. Si vous comptez faire un achat en ligne
Avant d’effectuer un achat en ligne et après avoir vérifié les points précédents, il vous reste encore quelques petites choses à vérifier:
- vérifier la présence des « conditions générales de ventes ». Les CGV sont obligatoires pour les sites commerçants.
- essayez de contacter le service client du site par téléphone afin de vous assurer de son existence.

Signaler une arnaque

En France, le gouvernement a mis en place une plateforme de signalement et de traitement des arnaques « PHAROS » (Plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements).

Si vous pensez avoir été victime d’une arnaque en ligne, vous pouvez en faire le signalement sur la plateforme PHAROS. Votre signalement sera traité par l’office central de lutte contre la criminalité et de la communication (OCLCTIC) qui est un service de police judiciaire spécialisé dans ces questions.

Si un de vos moyens de paiement a été utilisé à un usage frauduleux, signalez-le au plus vite à votre institution bancaire.

L’association française « phishing initiative » a mis en place un site internet https://phishing-initiative.fr qui vous permet de signaler les sites de phishing. Les sites signalés sont alors transmis aux principaux navigateurs internet afin d’en bloquer l’accès.

En Suisse, la Confédération suisse a également mis en place une centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI  Vous retrouverez sur MELANI des informations pratiques pour quiconque utilise internet.

On retrouve également un site permettant de signaler les phishing: https://www.antiphishing.ch

 

Sources:
https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/Phishing-hameconnage-ou-filoutage
https://www.bfmtv.com/tech/comment-savoir-si-un-site-internet-est-fiable-1754409.html
https://www.melani.admin.ch/melani/fr/home/themen/phishing.html