Dossier

Phishing : ne mordez pas à l'hameçon

23 mars 2020
fishing

Soyez vigilant à l’égard de toute communication autour du corona. Les cybercriminels profitent de l’actualité pour diffuser de faux mails, SMS ou messages WhatsApp, avec des offres de masques respiratoires, des collectes de fonds, des mesures de sécurité, etc. Ils se font passer pour des autorités officielles, banques, services fédéraux ou opérateurs télécom. Nos conseils contre le phishing.

Qu’est-ce que le phishing ?

Le phishing est une forme de cybercriminalité dans laquelle la victime (potentielle) est approchée par e-mail, sms, messagerie instantanée, médias sociaux ou téléphone. L’escroc se fait passer pour quelqu’un d’autre. Il peut s’agir de votre banque, fournisseur d’énergie ou d’une société de technologie, mais aussi d’un ami ou d’un membre de la famille.

Le but est de "pêcher" ("phishing" en anglais) des données sensibles, comme des informations personnelles, des mots de passe, des données de carte bancaire ou de crédit. Une fois qu’il s’est emparé de ces données, l’escroc a les coudées franches : il peut par exemple accéder aux principaux comptes de la victime et ainsi dérober son argent ou usurper son identité.

Différentes formes

Différents moyens sont mis en œuvre pour obtenir ces informations. Les e-mails sont encore et toujours les plus utilisés, mais il y en a d’autres.

Par e-mail

Il existe plusieurs variantes du mail de phishing : un avertissement relatif à votre compte, votre banque qui vous demande de confirmer vos données... L’émetteur semble fiable, mais il a l’intention de dérober vos données financières ou personnelles qu’il vous invite à compléter sur une page web contrefaite, ou il souhaite infecter votre appareil avec un malware en vous invitant à ouvrir une pièce jointe.

Ci-dessous, un exemple de mail de phishing émanant prétendument d’Apple. Soyez attentif à l’adresse e-mail : support@rjmamasatim02-team.freshdesk.com. Elle ressemble à tout sauf à une adresse Apple officielle. Si on fait glisser la flèche de la souris sur le lien ("verify your identity"), on voit apparaître la véritable URL : il s’agit d’un lien raccourci (https://t.co/dzjF8OKRbN) ne menant pas vers le véritable site Apple.

phishingmail apple

Par sms, WhatsApp ou Facebook Messenger

Les sms ou les apps de messagerie instantanée sont utilisés pour le "smishing" : vous recevez un sms, un message WhatsApp ou Facebook Messenger contenant une mise en garde (p.ex. "C’est toi dans cette vidéo ?" ou "Payez maintenant ou votre compte sera bloqué") ou une offre (p.ex. "Remportez un bon chez Lidl"), qui vous demande de cliquer sur un lien ou de composer un numéro de téléphone. Le lien installe un malware ou dirige vers une page web contrefaite sur laquelle vous êtes invité à compléter vos données (de paiement). Le numéro aboutit à un fraudeur qui se fait passer pour une entreprise et tente de vous soutirer vos données.

Voici un exemple de faux sms. Le message est rédigé en français mais provient d’un numéro portugais : suspect. Le lien n’aboutit pas à une photo, mais bien à une url contenant un malware, comme en atteste notre vérification sur www.virustotal.com.

Par téléphone

Le phishing par téléphone ("vishing") fonctionne comme suit : des escrocs tentent de convaincre leur victime de verser de l’argent pour partager des données personnelles, financières ou de sécurité.

Exemple classique : un "collaborateur" de Microsoft ou d’une autre entreprise de technologie vous téléphone pour vous signaler un problème sur votre pc : votre pc est infecté par un virus, a été hacké, ne dispose pas de la version légale de Windows 10, etc.

En guise de "solution", il vous fait télécharger un programme ou vous invite à surfer sur un site Web déterminé. L’escroc a ainsi accès à votre ordinateur et au final, son intention est de vous faire payer pour résoudre le problème. Il s’agit alors d’un montant de quelques euros, que vous devez souvent payer au moyen de votre digipass. Alors que vous pensez que vous ne versez qu’une somme modique, l’escroc parviendra à vous subtiliser des centaines voire des milliers d’euros.

Sur les réseaux sociaux

Imaginez : vous n’êtes pas satisfait d’une société et exprimez votre mécontentement sur Facebook ou Twitter. L’entreprise a tout intérêt à réagir rapidement car le post est visible par tout un chacun. Mais... les escrocs aussi savent lire. Ils créent un faux compte et réagissent à votre plainte comme s’il s’agissait du service client. Pour être aidé, vous devez alors cliquer sur un lien (souvent raccourci). Ils installent ainsi un malware ou vous amènent à compléter vos données de paiement dont ils abusent ensuite.

Ci-dessous, un exemple de phishing via Twitter. Un client mécontent pose une question à PayPal et reçoit une réponse de "@AskPayPal_Tech". Les comptes officiels de PayPal sont toutefois "@PayPal" et "@AskPayPal". Le lien abrégé mène vers une fausse page de connexion où la victime est invitée à saisir ses données.

paypal twitter

Par code QR

Voici comment fonctionne une arnaque par code QR : vous vendez un objet sur un site de seconde main et une personne vous contacte en vue de l’acheter. L’acheteur propose d'effectuer le paiement via son compte professionnel. Pour que le paiement soit possible, il demande de lui fournir votre numéro de compte. Rien d’anormal jusque-là. Quelques minutes après l’avoir communiqué, vous recevez un code QR à scanner pour confirmation. L’analyse se fait à partir de l'appli mobile réelle de la banque : tout semble légitime.

En fait, dans ce scénario de  fraude, le code ne fait pas référence à une confirmation de paiement mais renvoie à un portail de connexion qui donne à l'escroc - en combinaison avec le numéro de compte bancaire précédemment utilisé - un accès direct à vos comptes, qui risquent d'être débités de sommes importantes. Nous vous conseillons donc d'être prudent lorsque vous recevez une demande de paiement pour laquelle vous scannez un code QR. Le transfert manuel est toujours plus sûr, car vous ne vous retrouverez pas dans un environnement de paiement contrefait, parfois difficile à identifier.

Bref, restez vigilant et prenez le temps de tout vérifier minutieusement.

Par Google Agenda

Pour cette méthode, les escrocs envoient de fausses invitations aux utilisateurs de Google Agenda. Ces invitations contiennent des liens de phishing. Sous prétexte que vous avez gagné une somme d'argent, par exemple, ils essaient de vous faire cliquer. L'intention est de vous faire remplir vos informations personnelles ou celles de votre carte de crédit dans un faux formulaire sur le web.

Les escrocs profitent d'un paramètre qui est activé par défaut dans Google Agenda et qui garantit que chaque invitation de calendrier est automatiquement ajoutée à votre agenda. Pour éviter que des invitations malveillantes apparaissent dans votre agenda et que vous cliquiez accidentellement sur des liens dans ces invitations, il est préférable de désactiver ce paramètre.

Ouvrez Google Agenda dans votre navigateur et cliquez sur la roue dentée en haut à droite, puis sur Paramètres. Cliquez sur Paramètres des événements. Sous Ajouter automatiquement les invitations choisissez Non, n’afficher que les invitations auxquelles j’ai répondu. Sous Options d’affichage décochez Afficher les événements refusés.