Abécédaire des arnaques d’hameçonnage… et comment les détecter

Abécédaire des arnaques d’hameçonnage… et comment les détecter

phishing scams banner
Qui n’as pas encore été contacté par une veuve de roi du Nigeria l’incitant à l’aider à sortir de son pays une immense fortune en échange d’une belle part du gâteau. Nous connaissons tous cette arnaque, mais saviez-vous que pas moins de 30 % des internautes cliquent encore sur les liens repris dans ce genre d’e-mails ?

De nos jours, les arnaques d’hameçonnage sont tellement sophistiquées qu’il faut vraiment s’y connaître en la matière pour arriver à différencier les communications authentiques et sincères des arnaques les plus courantes.

C’est pourquoi, aujourd’hui, nous allons vous dévoiler comment reconnaître une arnaque d’hameçonnage et partager des exemples types de certaines arnaques d’hameçonnage tournant sur la Toile.

Commençons par le début, qu’entend-on par hameçonnage ?

C’est dans le milieu des années 1990 que le terme “hameçonnage” fit son apparition. En effet, certains pirates informatiques de l’époque aimaient dérober les identifiants de connexion des détenteurs de comptes en ligne d’America Online, aujourd’hui connu sous l’acronyme AOL. Le vocabulaire qu’utilisent les cybercriminels est emprunté à la pêche à la ligne, et nous retrouvons donc des “leurres”, qui lancent des “crochets” pour “pêcher” des mots de passe et des données financières. Le terme phishing en anglais est, lui, une variante orthographique du mot anglais fishing. À l’instar du terme phreaking, le f y est remplacé par ph. Le phreaking ou piratage téléphonique est une technique qui consiste à exploiter voire détourner les capacités des terminaux téléphoniques. À leurs débuts, ces pirates téléphoniques manipulaient les tonalités sur les lignes téléphoniques afin de ne payer aucune communication.

On pourrait dire que ce genre de filouterie ne faisait pas de victimes à proprement parler (exception faite des compagnies téléphoniques…). Cependant, il n’en est pas de même des attaques d’hameçonnage. Les pirates s’efforcent maintenant de tromper, de dérober ou d’obtenir, via des méthodes d’ingénierie sociale, des informations privée. Alors que les entreprises font leur possible pour mettre en place des mécanismes de sécurité complexes pour vous protéger des accès non autorisés, les criminels ciblent le maillon faible de la chaîne : vous.

Quels types de fraude par hameçonnage sont monnaie courante ?

Il en existe deux principalement

Les fraudes 419

Une fraude de type 419, du nom de l’article de la loi nigériane punissant de telles arnaques, consiste à promettre à une victime une large somme d’argent, généralement en mentionnant une autre somme exorbitante, sous couvert d’avancer une somme modique. Si la victime fait parvenir la somme demandée au cybercriminel, ce dernier escaladera la supercherie à chaque e-mail, demandant encore plus d’argent, ou disparaîtra complètement du paysage.

Arnaques d’hameçonnage traditionnelles

L’hameçonnage, filoutage ou phishing consiste à obtenir des informations privées comme des noms d’utilisateur, des mots de passe ou des informations de carte de crédit en se faisant passer pour une entreprise de renom comme Microsoft, eBay, Amazon ou votre institution financière.

Bien que la plupart des arnaques d’hameçonnage traditionnelles se fassent par e-mail, un nombre croissant de tentatives ont lieu sur les réseaux sociaux voire vos applications de travail comme Dropbox et Google Docs.

cloud storage phishing image

Au fil des ans, nous en avons vu passer de nombreuses et des belles… comme la fois où un robot de messagerie a tenté d’arnaqué notre PDG sur Skype, l’invitant à saisir les coordonnées de sa carte de crédit. Ou encore quand nous nous sommes associés à Bleeping Computer pour voir comment s’y prendrait un expert en assistance frauduleux, le fameux M. Z, comme l’équipe l’avait surnommé à l’époque, puisqu’il essayait de nous convaincre que notre machine virtuelle était compromise, sous l’emprise d’un “trozen” au lieu d’un trojan ou cheval de Troie. Tout ça dans le but de nous faire acheter son produit, tout aussi frauduleux.

En fait, les arnaques d’assistance technique sont tellement courantes que nous leur avions dédié tout un article.

Les méthodes d’hameçonnage sont aussi diverses que variées, citons les catégories les plus souvent utilisées :

Hameçonnage par duperie

Quel que soit le canal employé – Skype, e-mail, appel téléphonique – les tentatives d’hameçonnage par duperie se passent comme suit : un fraudeur se fait passer pour le représentant d’une entreprise légale afin d’obtenir de vous des informations, que celles-ci soient personnelles dans le but d’usurper votre identité ou qu’elles soient relatives à votre carte d’identité, ou il vous appelle pour vous intimider et ainsi vous convaincre d’acheter un produit qui existe… ou non. Les cybercriminels sont de plus en plus ingénieux au point de vous faire ouvrir une page ressemblant quasiment en tout point à l’originale, comme nous vous le montrerons ci-après.

Harponnage

Ces attaques d’hameçonnage visent à duper certaines personnes en particulier. Le message n’est donc pas général, l’internaute est plutôt visé à proprement parler par le biais d’une attaque très ciblée. Cela se passe par exemple, lorsque vous recevez un e-mail qui reprend vos prénoms et nom, fonction, le nom de l’entreprise pour laquelle vous travaillez, ou lorsqu’un inconnu vous envoie une demande d’amitié sur Skype, ce qui permettra au fraudeur d’accéder à certaines de vos informations personnelles.

Arnaque au PDG

CEO fraud phishing scam image

Ce type d’harponnage permet de dérober les identifiants et données privées d’un cadre via e-mail d’hameçonnage, supercherie téléphonique ou arnaque sur Skype. Les informations recueillies sont ensuite utilisées à des fins frauduleuses. Souvenez-vous de Larry Page, le président de Google – rien que ça ! -, qui vous écrivait pour vous informer de vos gains à leur “loterie” officielle.

Hameçonnage sur le Cloud

C’est en utilisant les suites professionnelles sur lesquelles comptent de nombreux travailleurs qu’ont lieu ces hameçonnages, puisqu’ils visent principalement les documents partagés. Dans le passé, Google et Dropbox ont hébergé, à leur insu, ce genre d’arnaque leur octroyant même des certificats SSL qui les rendaient, en apparence, 100 % légitimes.

Hameçonnage par dévoiement

Ou quand le trafic est redirigé d’un site légitime vers un malveillant, à votre insu. Toute information privée saisie est alors directement transférée aux arnaqueurs. On arrive sur de telles pages généralement après avoir cliqué sur des liens repris dans des e-mails d’hameçonnage, des conversations Skype ou des annonces sur les réseaux sociaux.

Comment se déroule une fraude 419 ? Conversation avec un fraudeur

Cet e-mail de la “UBS Investment Bank London” est arrivé dans la boîte de réception de notre collègue Haylee plus tôt dans la semaine. L’expéditeur de l’e-mail, givebombo@yahoo.com, a suscité son intérêt.

E-mail d'hameçonnage USB

L’ouverture de l’e-mail Compliment de la saison (impersonnel et maladroit) ainsi que les tournures de phrases qui se veulent officielles l’ont bien fait sourire, notamment parce que l’e-mail n’avait vraiment ni queue ni tête. Elle n’a pu s’en empêcher, il fallait qu’elle sache. De quoi retournait-il vraiment ? Qui était Jerry Joe ?

Alors, elle a appelé le numéro (flouté sur la capture d’écran).

À l’autre bout de la ligne, c’est un homme à Basingstoke, en Angleterre, qui répondit, ne sachant trop que faire jusqu’à ce qu’elle lui demande pourquoi il lui avait envoyé cet e-mail. Alors qu’elle essayait d’en savoir plus sur le sujet, lui continuait de lui demander son nom, prétextant qu’une fois qu’il le connaîtrait, il serait à même de lui parler de l’aventure commerciale dans laquelle ils allaient s’embarquer, ensemble.

Puisque Jerry Joe ne semblait pas vouloir lui en dire plus à moins de partager certaines de ses informations privées au téléphone, elle lui répondit d’une autre adresse e-mail, utilisant un pseudonyme, afin d’en apprendre davantage.

Dans l’heure, elle recevait une nouvelle tartine.

exemple de Fraude 419

40 % de 8 millions de livres sterling ? Sans aucun risque ? Génial, non ? Si la tartine qui avait été envoyée à Haylee ne l’avait toujours pas convaincue, la pièce jointe à l’e-mail, elle, saurait la persuader de ne rien laisser passer de cette merveilleuse opportunité.

Même si le relevé de compte daté de 2014 semblait avoir été imprimé sur un papier des années 1980, tout semblait extrêmement convaincant. Il poursuivit en affirmant :

scam personal info request

Maintenant que Jerry Joe lui avait affirmé que tout allait se dérouler à merveille, maintenant qu’elle jouait dans la cour des grands (this is no Child’s play), elle se sentait en confiance pour dévoiler à son nouveau “frère/partenaire” (brother/partner) les informations suivantes :

  • Son nom légal complet
  • Son adresse complète
  • Son âge
  • Son statut professionnel
  • Son état civil
  • Une copie d’un document officiel d’identité comme un passeport ou une carte d’identité.

Difficile d’imaginer ce qui se serait passé si elle avait, en effet, fourni ses documents officiels. Comment l’arnaqueur aurait usurpé son identité (ou celle de ce monsieur puisque, même après l’appel téléphonique l’e-mail avait été adressé à “Sir”) pour l’utiliser en ligne à des fins frauduleuses, faisant de nombreuses autres victimes sur son passage. En plus, il est rare que l’usurpation d’identité soit la finalité d’une fraude 419 ; généralement, la requête s’accompagne également d’une “modique somme d’argent” afin de faciliter le virement bancaire de cette nouvelle fortune. Et comment payer cette modique somme ? En divulguant les coordonnées de sa carte de crédit ou en procédant à un transfert d’argent via Western Union ou PayPal.

phishing scams email image

Le comédien britannique James Veitch s’est, lui aussi, amusé à converser maintes fois avec des arnaqueurs dans le but de soutirer des informations de la racaille qui sévit sur la Toile. Selon ses dires, pendant que les arnaqueurs perdent du temps à discuter avec lui, au moins ils n’essaient pas de voler les économies d’une autre victime. Le résultat de ses conversations ? De nombreux scénarios cocasses !

Bien que, dans le contexte de cet article il soit facile de comprendre que les exemples fournis sont des arnaques, et même si nous abordons le sujet avec une pointe d’humour, le problème est très sérieux. Trop d’internautes se laissent encore convaincre de divulguer leurs informations privées soit quand ils se laissent avoir par l’arnaque originale, soit quand ils baissent leur garde après avoir été harcelés de trop nombreuses fois. Si vous recevez un e-mail comme celui précédemment cité, une seule chose à faire : le supprimer !

Mais qu’en est-il des e-mails frauduleux plus vrais que nature ?

Comment identifier une attaque traditionnelle d’hameçonnage ?

Pensez à la façon dont vous vérifiez méticuleusement l’orthographe de votre message avant de l’envoyer à un client, à votre supérieur ou à un collègue de travail. Imaginez maintenant l’importance qu’attache une organisation financière, comme votre banque, à la façon immaculée dont elle présente ses communications.

Si vous recevez un courrier électronique qui ressemble au suivant, soyez assuré que la Banque Scotia n’en est pas l’expéditeur :

Quel e-mail est frauduleux ?

Les deux mises en page sont assez identiques, pourtant quelques détails trahissent la malfaçon. La Banque Scotia aide ses clients à identifier ce genre de communications malveillantes.

Penchons-nous sur l’amateurisme du design tout d’abord, avec le logo de travers et l’apparence peu professionnelle – le texte déborde sur l’image, notamment. Si vous avez un doute, consultez les communications précédemment envoyées par votre banque qui, elles, ne devraient contenir ni faute d’orthographe ou de grammaire évidentes, et reprendre la même police de caractères utilisée. Ensuite, aucune institution dont vous êtes client ne s’adressera à vous indirectement (Bonjour client de AnyBank), ni n’inclura dans ses communications d’hyperlien sur lequel cliquer afin de renseigner des données personnelles. Enfin, elle ne laissera jamais entendre qu’il y a urgence ni n’utilisera de ton menaçant.

Ce genre de communication vous sera probablement envoyé d’une adresse usurpée, ce qui devrait déjà vous mettre la puce à l’oreille. Si vous recevez ce genre de communication, ne cliquez sur rien et rendez-vous directement sur le site en ligne de votre banque, auquel vous accéderez depuis une nouvelle fenêtre. Consultez ensuite vos messages tout en sécurité sur votre interface bancaire en ligne. Votre banque ne vous a rien envoyé au sujet de votre compte en ligne ? Ça ne nous étonne pas.

Les fraudeurs profitent du fait que nous sommes constamment bombardés d’informations, de jour comme de nuit. Il est donc facile de baisser sa garde et de cliquer automatiquement sur un lien ou de divulguer des informations à qui ne devrait jamais y avoir accès.

Récapitulons maintenant les éléments pointant vers un e-mail frauduleux :

  1. Un e-mail s’adressant à vous de manière générale comme “Cher client” ou “Cher client fidèle”.
  2. L’objet de l’e-mail adopte un ton urgent ou semble menaçant comme “Votre compte a été suspendu” ou “Tentative non autorisée de connexion à votre compte”.
  3. On vous offre soudainement une belle somme d’argent, sans raison. Cet e-mail n’a aucun sens.
  4. L’e-mail semble venir d’une agence gouvernementale.
  5. On vous contacte de manière spontanée par e-mail, téléphone ou l’on vous envoie une demande de contact sans que n’ayez accompli aucune action.
  6. On vous demande de divulguer des informations personnelles comme les coordonnées de votre compte bancaire ou de votre carte de crédit ou vous êtes redirigé vers une page vous demandant de saisir (à nouveau) vos identifiants bancaires.
  7. Suivez votre instinct si quelque chose sonne faux. Si une offre semble trop belle pour être vraie, généralement c’est le cas.

Penchons-nous sur un notre exemple d’hameçonnage courant.

Certains des services que vous utilisez peuvent ne vous envoyer que des communications en anglais, les mêmes règles s’appliquent.

netflix phishing email

netflix phishing scam login window

Pensez-vous maintenant être capable de débusquer les tentatives d’hameçonnage ? Pas si vite.

Il nous reste encore un type d’hameçonnage à voir avec vous.

Hameçonnage de nom de domaine Unicode

Penchons-nous maintenant sur la barre du navigateur ci-dessous. Si vous étiez arrivé sur cette page après avoir cliqué sur un e-mail, vous ne noteriez aucun problème. On dirait effectivement que vous êtes sur PayPal.com ! Maintenant, cliquez sur l’image et regardez-la attentivement.

Punycode paypal phishing scam example

Voyez-vous le tilde au-dessus du “a” ? Cela trahit un site frauduleux vers lequel Haylee a été redirigée après avoir cliqué sur un lien dans un e-mail. C’est une méthode d’arnaque de plus en plus courante visant à induire en erreur les internautes qui pensent accéder au site original, nous confirment les experts de notre labo. Dans ce cas, les hameçonneurs tirent avantage du fait que l’Unicode intègre plusieurs systèmes d’écriture, chacun comprend un code différent pour une même lettre. En recourant au Punycode, les arnaqueurs peuvent enregistrer des noms de domaine ressemblant à s’y méprendre aux site réels.

C’est en se servant de pages de connexion semblant tout à fait légitimes, comme celle ci-dessus, et en modifiant de façon minime l’URL que les arnaqueurs arrivent à piéger les internautes.

Comment donc se protéger ?

 

Comment ne pas se laisser avoir par les attaques d’hameçonnage

Bien que les arnaques soient de plus en plus sophistiquées, pensez à observer de simples mesures de sécurité et ainsi prévenir les attaques d’hameçonnage.

  1. NE CLIQUEZ JAMAIS sur les liens repris dans des e-mails, soi-disant en provenance de votre banque ou tout autre organisme de confiance. Notamment si l’on vous demande de vérifier vos données personnelles. Supprimez-les immédiatement.
  2. PENSEZ à chercher sur Internet les expressions douteuses et noms spécifiques contenus dans les e-mails qui vous mettent la puce à l’oreille. Comme d’autres victimes peuvent avoir publié leurs mésaventures sur des forums, vous pourriez découvrir la sordide vérité qui se cache derrière certaines fraudes.
  3. VÉRIFIEZ sur tous les sites où l’on vous demande de saisir n’importe quelle information personnelle, la présence de la formule “https:” en début d’URL. Les certificats SSL sont utilisés pour chiffrer les informations transmises et ainsi sécuriser les données financières et d’identité sur le net. Si vous ne voyez pas le signe HTTPS dans la barre de recherche de votre navigateur, fermez la fenêtre et saisissez manuellement dans une nouvelle fenêtre l’adresse sécurisée. Faites toujours très attention à ce qui est écrit dans la barre de recherche de votre navigateur. L’URL présente-t-elle des incohérences comme des symboles qui ne devraient pas s’y trouver ou certaines lettres sembles inversées.
  4. NE DIVULGUEZ JAMAIS d’informations personnelles au téléphone, notamment lorsque l’appel reçu ne fait pas suite à une demande de votre part. Même si vous pensez que la personne vous appelle bien de votre banque, raccrochez et appelez votre banque directement au numéro repris sur leur site Web officiel. Ils confirmeront s’ils vous ont en effet contacté, et quelle en était la raison. Ne rappelez jamais un numéro qui vous a été donné par le correspondant lui-même.
  5. SIGNALEZ TOUJOURS toute arnaque à l’Anti-Phishing Work Group afin de vous assurer que d’autres victimes de la même arnaque peuvent en être avertis en ligne.

Comme vous pouvez le voir, certains fraudeurs tenteront le tout pour le tout pour vous voler le moindre de vos deniers. En outre, il est de plus en plus difficile de faire la différence entre l’hameçonnage d’un internaute pour lui dérober des informations ou l’arnaquer à des fins lucratives. Mais soyez confiant, vous avez désormais entre les mains toutes les cartes pour reconnaître une attaque d’hameçonnage avant même qu’elle ne frappe à votre porte ! Soyez vigilant et réfléchissez avant d’agir, vous éviterez ainsi bien des ennuis. Maintenant que vous savez à quoi faire attention, n’hésitez pas à aider les autres à en faire autant !

Nous vous souhaitons une excellente journée (à l’abri de toute arnaque) !

Nous avons dévoilé nos mésaventures, faites-nous part des vôtres. Quelle est l’arnaque la plus tordue à laquelle vous ayez dû faire face ? Comment avez-vous réagi ?

  • Romain Romain

    bonjour j,ai ete confronté exactement a ce genre de phishing suite a la suppression d,une adresse electronique inconnu auquel j,ai retrouvé dans mes parametres du compte facebook
    la suppression m,a fait remarquer la presence d,un virus
    et je n,aie pas de solution jusqu,a present et ne sais comment faire