Qu'est-ce que le phishing/hameçonnage et comment le reconnaître ?

Le phishing/hameçonnage est la tentative d'obtenir les données d'un utilisateur du web par le biais de faux e-mails ou de fausses pages Internet. Ce n'est souvent pas l'oeuvre de génies de l'informatique isolés, mais d'organisations criminelles professionnelles, qui génèrent des milliards de dollars de revenus. Comment détecter le phishing ?

Les courriers de phishing sont principalement utilisés par les criminels pour collecter des données personnelles telles que le prénom, le nom de famille, la date de naissance, l'adresse, les mots de passe, etc. Si vous utilisez ensuite le même mot de passe pour différents comptes, comme c'est malheureusement trop souvent le cas, l'auteur acquiert ainsi facilement un accès à vos différents comptes comme votre e-mail ou votre compte PayPal et peut utiliser ce dernier pour effectuer des paiements.

Un bon exemple de phishing est constitué par un e-mail provenant d'une source fiable. Les auteurs créent un e-mail donnant l'impression qu'il provient de l'administration fiscale et informant le destinataire qu'il recevra un remboursement d'impôt, mais que pour ce faire il doit remplir le formulaire joint au courrier. En plus de diverses données personnelles, le destinataire doit indiquer dans le formulaire les coordonnées de sa carte de crédit. En renvoyant le formulaire complété, la victime transmet ses données via un serveur quelconque directement au criminel et lui donne ainsi accès à sa carte de crédit, lui permettant de se servir immédiatement dans son compte.

Les caractéristiques suivantes sont des indices d'un mail de phishing et vous permettent de détecter la tentative de fraude :

• L'heure d'expédition est hors des heures usuelles de bureau en Suisse, par exemple le lundi à 5h50.
• Le sujet est incompréhensible.
• Le format de la date ou de la devise est incorrect. Le point manque pour la date (en Allemand), et les décimales de la monnaie sont séparées par une virgule au lieu d'un point comme c'est le cas en Suisse.
• Au lieu du double ss habituel en Suisse, le caractère ß est utilisé.
• Le courriel est rédigé dans un Français approximatif. Un texte rempli de fautes de syntaxe, de grammaire ou d'orthographe tend à indiquer qu'il peut s'agir d'un e-mail de phishing.

N'oubliez pas que ni l'Administration fiscale, ni d'autres entreprises publiques, ni des prestataires réputés ne demandent des informations confidentielles par e-mail. Et n'oubliez jamais qu'il peut s'agir d'un faux même si l'expéditeur et l'e-mail semblent authentiques.

Si vous pensez avoir reçu un e-mail de phishing, procédez comme suit :

• En aucun cas vous ne devez ouvrir une pièce jointe ou un lien, il est préférable de supprimer immédiatement l'e-mail.
• Si vous n'êtes pas sûr, recherchez le numéro de téléphone de l'expéditeur présumé  dans un annuaire téléphonique. Appelez-le et demandez-lui si leur établissement a envoyé le mail en question ou visitez le site web officiel de l'expéditeur présumé. Souvent, vous trouverez sur le site officiel une information avec un avertissement concernant cette tentative de phishing en cours.
• Recherchez sur Google des informations sur ce mail ou sur Twitter des tweets avec "phishing" ou dans le cas mentionné ci-dessus "administration fiscale". Vous trouverez ainsi généralement rapidement des informations sur les tentatives de phishing actuelles, car de genre d'informations est rapidement relayé sur le net.
• Ne remplissez pas le formulaire ! Ne donnez aucune information personnelle ou de carte de crédit.

Si vous avez déjà communiqué ces données à l'auteur, bloquez immédiatement vos cartes de crédit et déposez plainte pénale contre inconnu auprès de la police. Le fait de dénoncer immédiatement le cas peut vous aider par la suite à réclamer des dommages et intérêts aux auteurs, s'ils peuvent être arrêtés.

Publié le 7 décembre 2016