Prévenir les tentatives d’hameçonnage

phishingAprès vous avoir parlé la semaine dernière de la sécurisation des mots de passe, il m’a semblé utile de faire un rappel sur  les tentatives d’hameçonnage par courriel, toujours aussi fréquentes, même si leur version sous forme de SMS est de plus en plus en vogue. Après tout, pourquoi se casser la tête à pirater des mots de passe alors que les utilisateurs peuvent les livrer de leur plein gré ?

Autant le dire tout de suite: la règle d’or, c’est de ne jamais cliquer un lien dans le corps d’un courriel ou dans un SMS suspect (et dans le doute: s’abstenir) !

 

Le hameçonnage: un exemple

On a tous reçu des courriels soi-disant de LinkedIn, Google, Paypal ou autres services, mentionnant des messages non lus, des problèmes de sécurité ou, j’en reçois beaucoup ces derniers temps, des colis FedEx en attente.

La preuve par l’image:

Fedex hameçonnage

D’entrée de jeu, relevons qu’une date remontant trois ans en arrière devrait inciter à la prudence… Un moyen très simple de déceler la manoeuvre d’hameçonnage consiste à vérifier l’expéditeur en cliquant sur le nom de celui-ci:

Hameçonnage tentative

De vous à moi, je doute qu’un employé de FedEx utilise une adresse courriel avec un domaine « florissantmo.com », n’est-ce pas ?

Ce genre de message est en général filtré par les logiciels de courriels et n’apparaît que rarement dans votre boîte de réception. Toutefois, il peut apparaître sur des appareils mobiles (par exemple lorsque votre logiciel de courrier est fermé sur votre ordinateur) et les hameçonneurs sont malins: beaucoup de courriels d’hameçonnage sont des pseudo-alertes vous informant que la sécurité d’un de vos comptes a été compromise. Lorsque vous prenez connaissance de ce genre de courriel en fin de soirée ou de bon matin, c’est la panique assurée et vous risquez de vous précipiter à cliquer les liens de ces courriels et… c’est là que le piège se referme.

Comment réagir à des courriers suspects ?

Dans tous les cas, prenez la peine de réfléchir et:

  • Ne cliquez sur aucun lien contenu dans le corps du courriel,
  • Vérifiez l’adresse de l’expéditeur,
  • Les mises en page sont de plus en plus proches de courriels officiels mais recèlent souvent des erreurs (dans l’exemple ci-dessus, pensez-vous que Fedex limiterait son copyright à 2013 alors que nous sommes en 2016 ?),
  • Un indicateur qui trompe rarement pour les courriels en français: la mauvaise qualité du français et/ou les fautes d’orthographe grossières,

Si vous souhaitez cependant vérifier la réalité ou non du problème, ouvrez votre navigateur et entrez manuellement l’adresse du service concerné pour vous y connecter.

De plus en plus fréquent: le SMiShing

Depuis quelques temps, les tentatives d’hameçonnage ne se limitent pas aux courriels mais utilisent les SMS comme véhicule. En juin dernier, une vague de faux SMS Desjardins a circulé:

Fake SMS Desjardins

Outre le fait que Desjardins ne communique jamais avec ses clients de cette façon (encore faut-il le savoir), une fois encore, l’orthographe et le mauvais encodage des accents trahissait facilement la tentative de fraude.

Notez également que l’adresse web renseignée était une grossière contrefaçon, puisqu’elle mentionnait notamment « accessd » et n’était pas du tout celle du vrai site Desjardins. Encore une fois, tout le monde ne connaît pas par coeur l’URL exacte du site Accès D.

J’ai fait partie des « heureux » destinataires de ce SMS, que j’ai signalé immédiatement à la Caisse Desjardins, via leur page dédiée. Chaque banque dispose de pages similaires et je ne peux que vous encourager à signaler ces tentatives de fraude même si vous n’avez pas cliqué sur les liens proposés.

Ce genre de procédé a, semble-t-il de l’avenir: pas plus tard qu’hier, j’ai reçu un SMS supposément en provenance de mon fournisseur d’accès cellulaire, Fido. Il m’était mentionné un problème relatives à mon forfait de données… Rien que ça ! Le numéro du destinataire ne ressemblait en rien à ceux utilisés par Fido (il s’agissait ici d’un numéro de téléphone complet alors que ceux utilisés par Fido sont en général plus courts: (400) 430-02 par exemple):

 

Fake SMS Fido

Je n’ai évidemment pas cliqué sur le lien et opté pour la mise à la corbeille direct !

Conclusion

Internet est devenu omniprésent dans nos vies; de plus en plus de personnes sont équipées de téléphones intelligents, rendant accessibles les courriels (et bien sûr les SMS) partout, en tous temps. Forcément, pour les malfaisants de tout poil, l’occasion est trop belle…

Plus que jamais, il convient d’être extrêmement prudent et de ne jamais cliquer sur les liens des courriels ou SMS suspects. En cas de doute, connectez-vous manuellement en entrant vous-même l’adresse web du fournisseur concerné: vous aurez vite l’heure juste.