Le phishing est une forme d’escroquerie numérique qui existe depuis des années et qui ne cesse de se perfectionner. Il y a quelques années, on pouvait encore facilement repérer le phishing, mais avec l’arrivée de l’IA, les cybercriminels disposent de davantage de moyens pour vous piéger et s’emparer de vos données et de votre argent. Il existe toutefois encore certaines règles d’or que vous pouvez appliquer et auxquelles même l’IA ne peut rien opposer. En réalité, tout le monde a déjà été confronté au phishing. Cela se produit généralement par e-mail ou par SMS, mais cela peut aussi prendre la forme d’un appel téléphonique ou d’un message sur les réseaux sociaux. L’objectif final est toujours le même : la personne veut vos données. Il peut s’agir de coordonnées bancaires, d’une adresse ou d’identifiants de connexion. Dans le cas du phishing, c’est toujours vous qui les communiquez et, en principe, elles ne sont pas « volées ».
Qu’est-ce que le phishing exactement ?
Nous avons déjà brièvement expliqué ci-dessus ce qu’est le phishing. Nous allons d’abord approfondir un peu le sujet, car toutes les formes de cybercriminalité ne relèvent pas du phishing. Sur le site web du gouvernement flamand, on le décrit comme suit : « Le phishing est une forme de fraude sur Internet dans laquelle vous recevez de faux messages visant à obtenir vos identifiants de connexion, vos informations de carte de crédit, vos codes PIN ou d’autres données personnelles. » Le mot clé se trouve tout à la fin de cette définition : « obtenir ». En effet, le cybercriminel ne dispose pas encore de données sensibles (à part votre numéro de téléphone ou votre adresse e-mail). Son objectif est donc de vous convaincre de lui fournir volontairement ces données, et ce n’est qu’à ce moment-là que vous courez un risque. Une personne qui pratique le phishing n’est pas nécessairement un pirate informatique, car elle n’a initialement pas accès à vos données. Vous n’êtes pas victime d’un piratage, puisque c’est vous-même qui mettez vos données à sa disposition.
Cependant, si vous partagez un mot de passe et que cette personne se connecte ensuite à vos comptes, vous avez bel et bien été piraté. On peut globalement classer le phishing en différentes catégories. Une forme courante de phishing consiste en des e-mails provenant de votre banque ou des sites de paiement que vous utilisez (comme PayPal ou Klarna). Souvent, ces e-mails font référence à un paiement (généralement d’un montant élevé, supérieur à 100 euros) que vous auriez approuvé, mais qui n’est en réalité pas du tout authentique. Les e-mails vous demandent alors généralement de vous connecter ou d’appeler le numéro indiqué si vous n’avez pas approuvé ce paiement. De cette manière, ils cherchent à vous faire peur et à vous inciter à les contacter, car personne ne souhaite bien sûr voir 500 euros disparaître soudainement de son compte. Vous communiquez alors vos données à un cybercriminel, qui peut ensuite se connecter à votre compte, avec toutes les conséquences que cela implique. Si vous utilisez ce mot de passe sur d’autres sites web, ces comptes sont également en danger. Il est donc judicieux d’utiliser un gestionnaire de mots de passe qui crée des mots de passe différents pour chaque compte et les stocke en toute sécurité.
Une autre forme de hameçonnage vise les paiements ponctuels. Dans ce cas, le cybercriminel tente de vous convaincre de virer une somme d’argent sur son compte bancaire. Cela peut se faire de différentes manières. Ces tentatives prennent souvent la forme de SMS ou d’e-mails indiquant qu’un montant est en souffrance et doit être réglé. Le criminel se fait alors passer, par exemple, pour votre fournisseur d’énergie, d’Internet ou d’eau et menace de couper le service si ce montant n’est pas payé à temps. Parfois, ils se font également passer pour les autorités et prétendent que vous n’avez pas payé suffisamment d’impôts. Vos données de paiement restent généralement entre vos mains. En revanche, vous ne reverrez peut-être jamais le montant que vous avez transféré.
L’inverse est d’ailleurs également possible : on vous indique alors que vous pouvez obtenir un remboursement de la part des pouvoirs publics ou de votre fournisseur d’énergie, mais vous devez d’abord communiquer toutes vos coordonnées bancaires ou verser une petite somme afin qu’ils « s’assurent qu’il s’agit bien de votre véritable numéro de compte ». Il y a aussi le « spear phishing ». On peut le considérer comme du phishing sur mesure. Dans ce cas, les attaquants commencent par collecter des informations vous concernant via les réseaux sociaux. Ils recherchent vos centres d’intérêt, votre famille, vos amis et bien plus encore. Vous recevez ensuite un e-mail personnalisé dans lequel ils se font parfois passer pour un ami, un membre de votre famille ou un collègue. S’ils voient qu’un membre de votre famille part en voyage lointain, ils peuvent par exemple envoyer un e-mail en son nom pour dire qu’il a un besoin urgent d’argent pour rentrer chez lui.
Le phishing n’est pas un ransomware
Le phishing et les ransomwares sont deux formes de cybercriminalité souvent confondues. Bien qu’elles se ressemblent, les conséquences des ransomwares sont bien plus graves. Dans le pire des cas, le phishing peut vous faire perdre le contrôle de votre compte bancaire et vous obliger à faire bloquer votre carte. Un ransomware est un type de logiciel malveillant qui prend le contrôle de l’ensemble de votre ordinateur ou de votre smartphone. Il s’agit d’un virus que vous pouvez contracter de différentes manières. Le pirate informatique peut par exemple envoyer un e-mail indiquant que vous avez gagné quelque chose et que vous devez télécharger le fichier en pièce jointe pour réclamer votre prix. Ce fichier contient cependant un virus qui permet au pirate d’accéder à votre PC et de tout bloquer. Pour récupérer l’accès, vous devez payer une rançon (ransom en anglais). Dès que vous payez, vous récupérez soi-disant le contrôle. Le « soi-disant » est ici crucial, car cela n’est en aucun cas garanti. C’est là que réside le grand danger du ransomware. Dans le cas du phishing, vous effectuez un paiement parce que vous ne vous rendez pas compte qu’un cybercriminel se fait passer pour quelqu’un d’autre. Avec le ransomware, rien ne garantit que le pirate informatique tiendra parole après que vous ayez payé. Il peut ainsi tout bloquer à nouveau à tout moment et exiger une nouvelle rançon.
Voici comment reconnaître une tentative de phishing
Maintenant que vous savez ce qu’est le phishing, nous allons vous apprendre à le reconnaître. Comme nous l’avons déjà indiqué, cela suffit généralement pour l’éviter. Si vous constatez qu’un e-mail ou un SMS est une tentative de phishing, il suffit de l’ignorer et de le supprimer.
Dans quelle langue est rédigé le message ?
C’est en fait un conseil universel : si le message n’est pas en néerlandais, il faut immédiatement se poser des questions. Les communications émanant des pouvoirs publics, de votre fournisseur d’énergie et autres sont presque toujours en néerlandais. Vous pouvez parfois indiquer dans votre compte la langue dans laquelle vous souhaitez recevoir vos e-mails et, si vous n’êtes pas sûr de vos paramètres, il vous suffit de vous connecter pour vérifier. La communication est (dans le meilleur des cas) toujours rédigée dans un néerlandais correct. Le deuxième élément auquel vous devez prêter attention est donc l’orthographe et la grammaire. Dès que vous remarquez une faute d’orthographe, cela doit vous mettre la puce à l’oreille. Souvent, c’est la présence de caractères « étranges », comme le tréma, qui trahit la supercherie. Un message de phishing utilise par exemple souvent le mot « verifieren » au lieu de « verifiëren ».
Vérifier les adresses e-mail et les numéros de téléphone
Le message est-il rédigé dans la bonne langue et tout est-il correctement écrit ? Vérifiez alors immédiatement l’expéditeur. Pour les numéros de téléphone, il faut surtout prêter attention à l’indicatif du pays. S’il ne s’agit pas de +32 (ou +31 pour les lecteurs néerlandais), cela n’augure rien de bon. Sur la capture d’écran, vous voyez par exemple un SMS commençant par +233, qui est l’indicatif du Ghana. Ce message peut être immédiatement envoyé à la poubelle. Vous pouvez faire de même avec les adresses e-mail. Faites particulièrement attention à l’adresse e-mail elle-même, car le nom de l’expéditeur peut facilement être modifié pour paraître authentique. La partie après le @ est ici la plus importante, car c’est là que les entreprises utilisent leur domaine enregistré. Les cybercriminels peuvent toutefois paraître très crédibles et trouvent toutes sortes d’astuces pour y parvenir. Ainsi, des e-mails imitant Microsoft sont envoyés, utilisant @rnicrosoft.com. En effet, lorsque vous tapez un R et un N l’un à côté de l’autre, cela ressemble rapidement à la lettre M. En cas de doute, consultez toujours le site web de l’entreprise pour vérifier quel est son véritable domaine de messagerie. À l’autre extrémité, vous avez les e-mails provenant d’expéditeurs tels que 5280029@rmutr.ac.th qui se font passer pour McAfee. Ceux-ci doivent également être immédiatement envoyés à la corbeille.
Vérifiez les liens avant de cliquer dessus
Dans presque toutes les tentatives de phishing, vous finissez par devoir saisir des informations sur un site web. C’est un autre élément que les pirates doivent imiter et où beaucoup de choses peuvent mal tourner. L’URL en dit long à ce sujet. Dès qu’une entreprise enregistre un nom de domaine, personne d’autre ne peut l’utiliser. Le site web d’ING Belgique est par exemple www.ing.be et les cybercriminels peuvent alors opter pour www.ing-belgium.be ou www.ing-belgie.com afin de vous induire en erreur. Se rendre sur ce site web ne présente généralement aucun danger, alors ne paniquez pas si vous avez cliqué sur le lien. Vous ne courez un risque que si vous saisissez des données sur ce faux site web. Vous avez un doute quant au domaine officiel ? Rendez-vous simplement sur le site web et vérifiez ce qui est indiqué dans la barre d’adresse.
Images de mauvaise qualité
Enfin, vous pouvez également examiner les images. Si vous recevez un e-mail prétendument envoyé par DHL vous indiquant que vous devez payer pour recevoir votre colis, mais qu’il ne comporte aucun logo DHL, il s’agit d’une tentative d’hameçonnage. Parfois, les images sont également de très mauvaise qualité ou mal retouchées. Pensez par exemple à une camionnette quelconque sur laquelle le mot « POST » a été tapé. L’e-mail de l’Efteling, par exemple, a l’air très crédible, mais l’image en haut de la page avec Pardoes et Pardijn est fortement surexposée.
Que faire quand on est tombé dans le piège ?
Plus vous agissez rapidement, plus vous avez de chances de réussir. En effet, vous pouvez encore faire annuler les paiements dans les 24 heures. Si l’argent a déjà été prélevé sur votre compte, il y a peu de chances que vous le récupériez, même en portant plainte auprès de la police.
Si vous n’avez pas effectué de virement bancaire, mais que vous avez communiqué vos données personnelles (telles que le numéro de votre carte VISA et le code CVC), vous devez faire bloquer ce compte dès que possible. Pour ce faire, contactez votre banque ou votre prestataire de services de paiement.
