Vous avez gagné 10 000 000 $ : 10 caractéristiques communes d’une escroquerie par hameçonnage et 10 façons de se protéger

L’un des principaux indicateurs de la réception d’un courriel de phishing est la présence de fautes de grammaire et d’orthographe dans le message. Si le courriel est censé provenir d’un expéditeur ou d’une agence de bonne réputation, comme une entreprise ou une école, vous devriez vous attendre à ce qu’il soit impeccable. Toutefois, il convient de se méfier : les escrocs peuvent utiliser l’IA (intelligence artificielle) pour créer des messages qui semblent légitimes.

Vous devez immédiatement vous méfier si vous ne connaissez pas du tout l’expéditeur et que vous ne vous attendiez pas à recevoir un courriel de sa part. Même dans ce cas, les expéditeurs qui prétendent provenir d’une organisation légitime ne doivent pas être automatiquement crédibles : les escrocs peuvent créer des adresses électroniques qui semblent crédibles mais qui ne le sont pas, comme par exemple microsoft.com par rapport à rnicrosoft.com.

Les courriels de phishing tentent généralement d’exploiter la personne à qui le message est envoyé, ce qui signifie que vous serez souvent invité à saisir des informations sensibles pour « accéder » à quelque chose. Par exemple, le message peut prétendre qu’il y a eu une activité suspecte avec votre carte de crédit ou votre compte de média social, et que vous devez cliquer sur un lien et saisir votre numéro de carte ou votre mot de passe pour y remédier.

Les courriels d’hameçonnage ont souvent un caractère précipité. Ils peuvent indiquer que votre compte a été piraté et que vous devez agir immédiatement, ou que vous avez gagné un prix et que vous devez le réclamer immédiatement en cliquant sur un lien. Lorsqu’un message adopte un ton menaçant ou urgent, il s’agit très probablement d’une escroquerie.

Si l’expéditeur provient d’une entreprise, d’une école ou d’une organisation que vous connaissez bien, mais qu’il vous salue de manière générique dans le courriel, vous devez également vous méfier. Cela ne devrait pas vous alarmer s’il s’agit, par exemple, d’un courriel envoyé par une faculté à des centaines d’employés ou d’étudiants, mais si le reste du message semble vous être personnellement adressé alors que la formule de salutation est « Cher étudiant » ou « Cher client », ne tombez pas dans le panneau.

Méfiez-vous si vous recevez non seulement un courriel d’une personne que vous ne connaissez pas, mais aussi un message contenant une pièce jointe. Bien que ces fichiers ne soient pas toujours malveillants, vous ne devez jamais les télécharger sans avoir vérifié l’identité de l’expéditeur.

De même, vous devez vous méfier des liens présents dans le courrier électronique. Si vous les survolez et que l’URL semble vous diriger vers un autre endroit que celui indiqué par l’expéditeur, c’est déjà un signal d’alarme. Ne cliquez jamais sur les liens contenus dans des courriels provenant d’expéditeurs suspects ou inconnus.

Avez-vous déjà reçu un courriel vous annonçant que vous avez gagné à la loterie, alors que vous n’avez jamais acheté de billets ? Quelles que soient les histoires bizarres (et parfois hilarantes) que les escrocs inventent, rappelez-vous ceci : si quelque chose semble trop beau pour être vrai, c’est probablement le cas.

Certains courriels de phishing sont longs et truffés de fautes d’orthographe, mais d’autres peuvent être courts, précis et apparemment légitimes. Même dans ce cas, il ne faut pas baisser la garde. Certains escrocs peuvent rédiger un message court pour ensuite y joindre un fichier ou un lien malveillant.

Vous devez également vous méfier de l’heure à laquelle un courriel vous est envoyé. Si l’expéditeur prétend appartenir à une organisation réelle, vérifiez à deux reprises que le message vous a été envoyé pendant les heures d’ouverture. Par exemple, votre « patron » ou « collègue » vous envoie un message après minuit, alors que cela n’arrive jamais.

Comment se prémunir contre ces escroqueries ? Voici 10 conseils à garder à l’esprit pour rester en sécurité en ligne.

Avant même de lire le contenu du courriel, vérifiez d’abord l’identité de l’expéditeur. Le connaissez-vous ? Avez-vous déjà reçu des courriels de sa part ? Avez-vous été récemment en contact avec lui ? Avez-vous fait quelque chose qui justifie un message de sa part ? En vous posant ces questions et en vérifiant que l’expéditeur est bien celui qu’il prétend être, vous serez en sécurité dès le départ.

Ne cliquez sur aucun lien avant d’avoir vérifié l’identité de l’expéditeur. Même après avoir vérifié l’identité de l’expéditeur, vous devez vous méfier des liens et des pièces jointes fournis. Survolez toujours les URL pour les inspecter d’abord, et ne téléchargez pas de fichiers auxquels vous ne vous attendiez pas.

Quel que soit l’expéditeur, ne communiquez jamais vos informations sensibles par courrier électronique. Il s’agit notamment de votre numéro de carte de crédit, de votre numéro de compte bancaire, de votre numéro de passeport, de votre adresse personnelle, de votre nom complet, de votre mot de passe de connexion et de tout autre élément contenant des données personnelles identifiables. Les organisations légitimes vous demanderont toujours de fournir des informations sensibles par l’intermédiaire de portails sécurisés.

En cas de doute, il est préférable d’appeler directement l’entreprise ou l’organisation plutôt que de cliquer sur un lien ou d’envoyer un courrier électronique. Par exemple, si votre banque prétend avoir remarqué une activité suspecte sur votre compte, appelez le numéro figurant au dos de votre carte de crédit, et non le numéro indiqué dans l’e-mail de phishing.

Au lieu de suivre les liens contenus dans le courriel, tapez vous-même l’URL dans votre navigateur. Par exemple, si vous êtes invité à réinitialiser votre mot de passe en raison d’une activité suspecte, ouvrez un nouvel onglet et rendez-vous vous-même sur le site web. Vous éviterez ainsi de cliquer sur des liens potentiellement malveillants.

Si vous ne l’avez pas encore fait, assurez-vous d’activer l’AFM pour tous vos comptes sur les plateformes qui le proposent. Cela signifie qu’une notification vous sera envoyée, soit sur votre téléphone, soit par courriel, pour vérifier que c’est bien vous qui vous connectez. Il est ainsi plus difficile pour les pirates d’accéder à votre compte, même s’ils connaissent votre mot de passe.

Les courriels d’hameçonnage changent et évoluent constamment parce que les attaquants trouvent de nouvelles façons de créer des escroqueries crédibles, en particulier avec l’aide de l’intelligence artificielle. Veillez à rester informé en faisant vos propres recherches et en vous tenant au courant des différentes techniques utilisées.

Chaque fois que vous recevez un courriel suspect, signalez-le. Vous vous assurez ainsi qu’il est signalé et qu’il ne se retrouvera pas dans votre boîte de réception principale. Cette étape est particulièrement cruciale si vous recevez des courriels d’hameçonnage sur votre messagerie professionnelle, car le fait de cliquer par erreur sur des liens ou des pièces jointes malveillants pourrait affecter l’ensemble de votre organisation.

Il est bon de se méfier de tout ce qui arrive dans votre boîte de réception. Après tout, même si vous recevez un message d’un expéditeur légitime, vous ne savez jamais si son adresse a été piratée et si un pirate a envoyé le courriel en utilisant son identité.

N’oubliez pas de toujours faire confiance à votre instinct. Même si l’expéditeur et le courriel semblent passer toutes les premières vérifications, si vous sentez qu’il y a quelque chose qui cloche, c’est qu’il y a probablement quelque chose qui cloche. Demandez un deuxième avis, ne répondez pas tout de suite et ne cliquez sur aucun lien. Mieux vaut prévenir que guérir.