Un message trop beau pour être vrai, provenant d'une organisation de confiance que vous connaissez bien et un lien à suivre. Voilà, en résumé, la stratégie utilisée par les cybercriminels pour vous soutirer de l'argent ou des données en vous attirant sur un faux site internet.
Auparavant, leur arme de prédilection était l'e-mail (phishing). Aujourd'hui, les moyens utilisés sont plus variés : les fraudeurs piègent leurs victimes avec de faux codes QR (quishing), des SMS, des messages WhatsApp (smishing) ou par téléphone (vishing). Les fausses publicités sur les réseaux sociaux et les fausses apps sont également de plus en plus fréquentes.
Mais ce n’est pas tout : une autre forme de fraude fait son apparition. Les criminels parviennent désormais à manipuler des e-mails authentiques après avoir obtenu l’accès à une boîte de réception. Ils peuvent ainsi, par exemple, modifier une véritable facture provenant d’un expéditeur connu et remplacer le numéro de compte par le leur. Tout semble normal, mais le paiement est détourné vers les fraudeurs.
Phishing & co : quels sont les signaux d'alarme ?
- Les fraudeurs se font passer pour une personne ou une organisation de confiance. Il peut s'agir de votre banque, de votre fournisseur d'énergie, d'un service public, ou de votre compagnie d'assurances.
- Ils jouent sur l’urgence : vous devez agir vite si vous ne voulez pas passer à côté de cet argent ou de cette offre incroyable.
- Ils misent parfois sur la peur : votre sécurité est en jeu et vous devez réagir.
- Il peut s'agir d'une offre irréaliste : vous avez droit à une énorme somme d'argent, vous avez gagné un prix incroyable ou vous bénéficiez d'une opportunité d'investissement unique qui peut rapporter beaucoup et très vite.
- S'il s'agit d'une communication écrite, le langage utilisé est parfois inhabituel pour l'expéditeur. On constate souvent des irrégularités dans l'adresse e-mail.
- Vous devez installer une app via un lien qui vous a été transféré ? Il est fort probable qu'il s'agisse d'une fausse app qui, une fois téléchargée, installe un logiciel malveillant sur votre téléphone. Installez uniquement des applications via l'app store officiel.
- Si vous tombez sur un QR code ou un lien dans vos e-mails ou ailleurs : vérifiez la source et examinez le message avant de scanner ou de cliquer. Méfiez-vous si vous accédez à un site web qui vous demande vos coordonnées bancaires, votre numéro de registre national ou d'autres données personnelles...
- Soyez particulièrement vigilant avec les factures que vous recevez par e-mail, même si le message semble fiable. Après avoir piraté une boîte de réception, des fraudeurs peuvent modifier une véritable facture, par exemple en changeant le numéro de compte. Redoublez donc d’attention si le numéro de compte n’est pas reconnu automatiquement par votre application bancaire.
Les e-mails frauduleux contiennent souvent un lien. Celui-ci renvoie généralement vers un faux site web où vous devez indiquer vos données personnelles (mots de passe, coordonnées bancaires...).Cependant, il arrive qu’il n’y ait aucun lien : c’est alors la facture elle-même, dans un e-mail authentique, qui a été modifiée avec un numéro de compte suspect.
Comment vérifier si un lien est digne de confiance ou frauduleux ?
Pour savoir si un lien dans une communication est digne de confiance, il faut savoir :
- comment lire le lien ;
- comment reconnaître un lien frauduleux.
1. Comment lire un lien ?
Il est toujours plus prudent de lire le lien avant de cliquer dessus :
- Dans un SMS ou un message WhatsApp, le lien transmis est visible. Méfiez-vous des liens raccourcis tels que bit.ly/xyz : ils masquent le site web vers lequel le lien vous renvoie. Dans ce cas, restez critique.
- Pour les e-mails, c'est un peu moins évident : vous verrez un bouton du type « Cliquez ici » ou « Obtenez votre prime sans attendre » et vous ne pourrez donc pas lire l'URL. Dans ce cas, positionnez le curseur de la souris sur le bouton et maintenez-le à cet endroit, sans cliquer. Vous verrez alors apparaître l'URL du site web. Pour les e-mails que vous lisez sur votre smartphone : placez simplement votre doigt sur le bouton et maintenez-le enfoncé pendant un moment pour afficher l'URL.
Si cela ne fonctionne pas, vérifiez le lien dans la barre de navigation de votre navigateur Internet.
2. Comment reconnaître un faux lien ?
Pour en avoir le cœur net, vous devez connaître la véritable adresse web ou le nom de domaine. Voici comment :
- Une adresse web commence généralement par « https:// » et se termine par « .be », mais aussi par « .net », « .com », « .fr », « .site », « .eu », « .org », etc.
- L'adresse réelle ou le nom de domaine se trouve entre « https:// » et le premier « / » qui suit. À partir de cette barre oblique, revenez deux points en arrière et commencez à lire à cet endroit. Exemple : dans « https://www.exemple.be/abc », le véritable nom de domaine est « exemple.be ».
Il n'y a pas de barre oblique après « https:// » ? Il suffit alors de partir de la fin de l'URL et de revenir deux points en arrière également.
- Autre exemple : le site de l'assureur fictif « XYZ Assurances » est « https://www.xyzassurances.be ». Le nom de domaine est donc « xyzassurances.be ». Normal : après tout, c'est le nom de la compagnie. Supposons que le lien dans votre e-mail soit « https://www.xy.zassurances.be »... Le nom de domaine est « zassurances.be » : il ne s'agit donc pas d'un site web légitime, mais d'une tentative de phishing. Les deux sites sont très similaires : redoublez de vigilance.
Quelques conseils de sécurité supplémentaires
- Restez vigilant avec les pièces jointes, surtout lorsqu’il s’agit de factures : n’ouvrez pas de pièces jointes suspectes et vérifiez toujours les données de paiement (numéro de compte, montant et communication) avant d’effectuer le paiement, même pour des factures qui semblent fiables.
- N'introduisez vos mots de passe, vos codes bancaires ou des données personnelles que si vous avez la certitude absolue de vous trouver dans un environnement sécurisé. Ne les partagez jamais au téléphone !
- Ajoutez à vos favoris les sites que vous visitez régulièrement : votre courtier, votre banque, votre assureur, votre fournisseur d'énergie...
- Pour compliquer la tâche des fraudeurs, optez pour la vérification en deux étapes : sécurisez vos comptes et apps en ajoutant un niveau de sécurité.
- Vérifiez également les paramètres de votre boîte de réception : des règles ou des filtres suspects ont-ils été ajoutés (par exemple un transfert automatique vers une adresse inconnue) ?
- Vous avez reçu un e-mail ou un message suspect ? Transmettez-le à suspect@safeonweb.be, puis supprimez-le.
Vous doutez de la véracité d’un message ? Ou de l’authenticité d’une facture reçue dans votre boîte de réception ? S’il s’agit d’une communication en notre nom ou de la part d'une compagnie d'assurances, contactez-nous. Nous nous ferons un plaisir d'examiner la question avec vous.
Sources : safeonweb.be, cecbelgique.be
