1er mois à 1€

Actualités, enquêtes à Lyon et dans la région

Arnaques par mail de plus en plus sophistiquées : les parades

SUR RUE89

Cet article est en accès libre. Pour soutenir Rue89Lyon, abonnez-vous.


Un hameçon (Chang’r/Flickr/CC)

 

Les systèmes de paiement en ligne sont de plus en plus sécurisés. Bonne nouvelle ? A priori oui, mais les aigrefins aussi perfectionnent leurs techniques, et ils concentrent tous leurs efforts sur le maillon faible : le facteur humain.

La crédulité ou les lacunes techniques des internautes constituent la dernière faille pour les arnaqueurs, qui ne se contentent plus des sites de ventes et autres combines « classiques » : ils cherchent leurs victimes jusque dans leur boîte mail

 

Les arnaqueurs peaufinent leurs techniques

Le phishing : la technique du mail-hameçon

La psychose du faux mail s’est insinuée partout, même à Rue89 où certains membres de la rédaction se demandent s’ils n’ont pas mis à la corbeille des messages officiels en croyant à une entourloupe. Cela à un nom : le « phishing », le hameçonnage en français.

L’exemple classique de phishing est le mail des impôts, de la CAF ou d’EDF, vous annonçant soit que vous êtes l’heureuse victime d’une erreur de calcul et que vous allez être remboursé de quelques centaines d’euros, soit au contraire que vous devez impérativement régler sous 24h un montant donné, sous peine d’être sanctionné.

Galvanisé ou paniqué, l’internaute mal informé s’empresse de donner les renseignements sollicités – souvent bancaires – ou de cliquer sur le lien donné qui renvoie sur un site factice, ressemblant à celui de l’organisme officiel.

Une fois les identifiants, mots de passe ou coordonnées bancaires entrés sur le site, ils seront utilisés pour virer frauduleusement de l’argent depuis le compte en banque de l’internaute.

Autres exemples connus :

Le pharming : la technique du détournement masqué

Le pharming est une variante sophistiquée du phishing. Il n’est pas question ici d’appâter l’internaute insouciant via des propositions alléchantes ou des rappels inquiétants mais de le détourner. Alors qu’il entre pourtant la bonne adresse URL, il est redirigé vers un site frauduleux identique à celui sur lequel il comptait se rendre, où il sera soulagé de ses données confidentielles.

Les pirates peuvent procéder de deux manières :

  • soit ils falsifient la correspondance entre l’URL du bon site et l’adresse IP qui lui correspond au niveau du serveur DNS (l’opération de piratage est donc menée contre l’organisme) ;
  • soit ils introduisent un logiciel malveillant – un cheval de Troie – dans l’ordinateur de l’internaute (lorsque celui-ci télécharge des fichiers ou se rend sur des sites infectés), qui se chargera de le rediriger vers le site frauduleux à la première occasion.

Une fois les données récupérées, les pirates s’en serviront pour débiter votre compte en banque ou se servir de vos profils sociaux et messageries pour répandre le virus et arnaquer votre entourage.

De quoi psychoter, non ? Heureusement, il existe quelques trucs et astuces pour s’assurer de l’authenticité d’un e-mail ou d’un site avant d’y entrer son code de carte bleue ou son mot de passe.

 

Les astuces pour ne pas se faire avoir

Diagnostiquer un faux e-mail

Il faut commencer par faire appel au bon sens : si le message est bourré de fautes d’orthographe et de syntaxe, c’est qu’il y a un souci. Les messages certifiés par le gouvernement et autres instituts administratifs sont – en théorie – rédigés sans erreurs.

Voici le genre de message – reçu par un membre de la rédaction – qui devrait vous mettre la puce à l’oreille (une perle) :

« S’il vous plaît soumettre la demande de remboursement d’impôt et nous permettre de 2 jours ouvrables pour le traitement »

Il faut aussi vérifier l’adresse de l’expéditeur de l’e-mail : par exemple, l’adresse utilisée récemment pour les arnaques à la CAF (caf@home.pl) n’a rien de très authentique. On préfèrera les adresses se terminant par gouv.fr ou edf.com. Dans le doute, consultez la liste des domaines utilisés par chaque organisme.

Sachez également qu’il ne faut jamais donner ses coordonnées bancaires ou informations personnelles dans un e-mail. Si une société en question souhaite vous contacter, elle le fera par courrier postal ou par téléphone.

Si malgré ces quelques règles de bon sens, le doute subsiste, vous avez la possibilité de contrôler la provenance du message. Tout d’abord, il faut pouvoir en récupérer l’adresse IP ou le serveur :


Un faux e-mail EDF (capture d’écran)
  • le serveur est généralement visible dans l’en-tête du mail ;
  • à défaut du serveur, récupérez l’adresse IP dans le code source du mail ;
  • localisez l’émetteur de l’e-mail à l’aide d’un des deux éléments :

Localisation d’un expéditeur de faux e-mail via l’outil Geoiptool (capture d’écran)

D’après Geo IP tool, le mail provient de Biélorussie, un paramètre étrange alors qu’il est censé émaner d’un organisme français. Les tentatives d’hameçonnage les plus répandues proviennent en général d’Afrique et des pays de l’Est.

Attention toutefois à ne pas stigmatiser tous les émetteurs étrangers, il s’agit simplement de bien identifier la nature du mail, et de qui il est censé provenir, pour mettre le doigt sur ce type d’extravagance.

Vérifier la fiabilité d’un site de vente

Il existe plusieurs méthodes pour établir le degré de confiance d’un site de vente en ligne. Là encore, il faut commencer par faire appel au bon sens :

  • si les prix affichés sont très attractifs alors que les produits proposés sont théoriquement beaucoup plus chers, c’est rarement un miracle ;
  • se référer aux avis des consommateurs : faire un tour sur le web permet de vérifier en quelques secondes l’authenticité d’un site. S’il n’y a aucun avis nulle part : s’inquiéter ;
  • la présentation : se méfier des images et textes mal disposés, des fautes d’orthographe, des caractères non reconnus et des plans approximatifs.

Exemple type d’une proposition commerciale douteuse.

Sur le plan technique, il faut d’abord vérifier la sécurisation du paiement : les sites de ventes fiables, en général, possèdent la structure suivante « https : // » – « s » étant synonyme de la sécurité d’une transaction entre le client (vous) et le serveur (le site). Les navigateurs Firefox et Google Chrome rajoutent un cadenas comme certificat de validation.

Vérifier les mentions légales : numéro de déclaration à la Commission nationale de l’informatique et des libertés (Cnil), raison sociale, adresse et nom de l’hébergeur sont les conditions minimales requises.

Effectuer un whois (de l’anglais « who is » = « qui est ») en tapant l’adresse du site dans la barre de recherche. Vous déterminerez ainsi qui en est le propriétaire, son adresse, numéro de téléphone et e-mail.

 

A lire sur Rue89.com

 

Aller plus loin

Quand l’occasion fait le pigeon : cinq arnaques décryptées

 

 


#arnaques

Activez les notifications pour être alerté des nouveaux articles publiés en lien avec ce sujet.

Autres mots-clés :

#arnaques#Mail#numérique
Partager
Plus d'options