Le soi-disant hameçonnage est une forme de fraude en ligne. Il s’agit généralement d’e-mails – déguisés en lettres officielles – destinés à inciter les internautes à divulguer des informations importantes telles que des mots de passe et des numéros secrets. Mais de faux SMS sont aussi souvent envoyés. Comment reconnaître le phishing et comment se protéger ?
Qu’est-ce que l’hameçonnage ?
Le terme hameçonnage est dérivé de la pêche aux données personnelles. Le remplacement de F par Ph résulte de la combinaison des mots password harvesting. Les fraudeurs veulent récolter autant de mots de passe et de données d’accès que possible.
Les cibles de phishing sont principalement les données d’accès aux portails bancaires, aux systèmes de paiement tels que PayPal, aux boutiques en ligne ou aux maisons de vente aux enchères sur Internet. Des dommages importants peuvent être causés avec les données d’accès volées, surtout, bien sûr, des dommages financiers, mais aussi l’installation de logiciels malveillants ou des atteintes à la réputation en se faisant passer pour la victime.
Types de phishing : e-mails, SMS et faux sites Web
Une attaque de phishing commence soit par un e-mail personnel d’apparence officielle, soit par un e-mail de masse clairement reconnaissable envoyé à de nombreux destinataires. Le destinataire doit visiter un site Web lié dans l’e-mail, qui, sous prétexte, demande ses données d’accès . S’il suit cette demande, ses données d’accès se retrouveront entre les mains des auteurs de l’attaque de phishing. Les escrocs de phishing utilisent les possibilités du HTML (HyperText Markup Language). Le texte du lien indique l’adresse d’origine (par exemple, www.votrebanque.fr), tandis que la cible du lien invisible stockée mène en fait à l’adresse du faux site Web.
Dans d’autres cas, les fausses pages de destination ont de faux noms ou désignations qui ressemblent aux pages ou aux entreprises officielles, mais sont légèrement différentes de l’original. L’apparence des pages cibles ressemble également à l’apparence des pages d’origine. Il est très difficile de dire que les sites sont faux. Ici, il est important d’être attentif et d’utiliser les adresses des pages Internet d’origine, par ex. B. connaître sa banque. La ligne d’adresse du navigateur peut indiquer que vous n’êtes pas sur le site Web d’origine.
Une autre variante, plus simple, intègre un formulaire directement dans un e-mail . Des données confidentielles doivent y être saisies, qui sont ensuite envoyées aux escrocs par hameçonnage. Un faux site Web de phishing n’est pas utilisé ici.
Les attaques de phishing peuvent également être menées via SMS ou un service de messagerie. Dans ce contexte, les SMS frauduleux provenant de prétendus services de colis et où les destinataires sont censés cliquer sur un lien peuvent être observés particulièrement fréquemment. En tapant sur le lien, un logiciel malveillant est alors involontairement installé sur le téléphone portable de l’utilisateur, par lequel des masses de SMS sont envoyées. Cette forme de fraude est également connue sous le nom de » Smishing » (une combinaison des mots « SMS » et « hameçonnage »). En installant le logiciel malveillant, l’expéditeur frauduleux veut lire des données sur l’appareil. SMS avec un contenu similaire (par exemple, des notifications concernant des messages vocaux présumés pour le destinataire). tous dans le but d’attirer le destinataire vers le lien envoyé.
Comment reconnaître un e-mail de phishing ?
Voici les caractéristiques typiques des e-mails de phishing. Quiconque découvre une ou plusieurs de ces caractéristiques peut supposer qu’il s’agit d’un e-mail frauduleux :
- La pression est générée artificiellement parce qu’une urgence particulière est feinte. Il vous est demandé d’effectuer le plus rapidement possible une action qui semble importante. Des exemples de ceci sont « contrôle de sécurité », « vérification » ou « activation ». La pression est aussi souvent générée par les menaces . Il menace que si les instructions ne sont pas suivies, l’accès sera bloqué ou quelque chose d’autre de mauvais se produira.
- Si un mot de passe est demandé dans l’e-mail lui-même, il s’agit presque certainement d’un message frauduleux. Aucun fournisseur connu n’exige la spécification de données importantes dans un e-mail, car celles-ci peuvent être lues par des tiers sans grande difficulté. Les e-mails demandant des informations personnelles telles que des mots de passe ou des TAN sont généralement faux et peuvent être supprimés même s’ils ne présentent aucune des autres caractéristiques.
- Il est vrai que les auteurs des e-mails de phishing peuvent être de grands programmeurs et experts en informatique. Dans la pratique, cependant, il est toujours surprenant de voir qu’ils sont apparemment en désaccord avec la langue française. Des fautes d’orthographe et de grammaire dans le texte, des trémas erronés ou manquants (ae au lieu de ä) ou des mots inhabituels (par exemple, taper au lieu de taper) se retrouvent très souvent dans les messages dangereux. Certains d’entre eux proviennent d’un logiciel de traduction qui ne fonctionne pas correctement.
- Les e-mails de phishing peuvent souvent aussi être reconnus par les adresses d’expéditeur cryptiques , qui ne correspondent généralement pas à l’adresse de la société supposée expéditeur. De plus, les messages commencent généralement par une adresse impersonnelle (« Cher client »).
Comment pouvez-vous vous protéger?
- Les banques, compagnies d’assurance et autres prestataires de services ne demandent jamais à leurs clients de leur envoyer des numéros de carte de crédit, un code PIN, un TAN ou d’autres données d’accès par e-mail, SMS ou par téléphone.
Par conséquent, ce qui suit s’applique : Ne transmettez jamais de données importantes pour la sécurité par e-mail, SMS ou par téléphone. - De plus, ne cliquez jamais sur des liens provenant d’un e-mail ou d’un SMS non sollicité provenant d’une source inconnue . Afficher l’e-mail sans HTML. Les URL et les adresses d’expéditeur de courrier électronique peuvent être usurpées et ne sont généralement pas fiables.
- Avec les services bancaires en ligne, vous devez toujours saisir manuellement la destination souhaitée dans la ligne d’adresse du navigateur ou utiliser des signets enregistrés dans le navigateur que vous avez soigneusement créés vous-même. Avant de fournir des données relatives à la sécurité, vous devez vous assurer que le site Web est bien celui d’origine.
- En général, si vous êtes approché sans qu’on vous le demande dans des domaines liés à la sécurité, vous devez vous méfier dès le départ . Il est toujours préférable de vérifier d’abord auprès du fournisseur de services en cas de doute.
Toute personne ayant été victime d’un e-mail de phishing
- doit immédiatement informer le prestataire de services concerné et déposer une plainte pénale.
- devrait enregistrer le faux e-mail. Cela pourrait servir de preuve dans une procédure pénale.
- doit, si cela est encore possible, changer immédiatement ses mots de passe afin que les mots de passe originaux volés deviennent inutilisables.
- doit passer le smartphone en mode avion en cas de SMS frauduleux, désinstaller l’application malveillante ou même réinitialiser l’appareil à l’état de livraison et informer l’opérateur mobile.