(07/06-2021) – On entend régulièrement parler de ces mails piégés: Ils ressemblent à des mails officiels et arrivent dans votre boîte mail avec un contenu qui peut être alarmant: “Votre mot de passe doit être changé”, “Alerte de sécurité”, “Vous avez reçu x nouveau(x) message(s)”…

Ces mails vous seront apparemment envoyés du Crédit Agricole, de la Banque populaire, de la Banque Postale, de Netflix, de PayPal et bien d’autre. Mais en fait, ce sont des faux.

Si vous cliquez sur le lien, vous serez envoyés à une page qui ressemblera à ladite banque ou Netfix, mais si vous y mettez vos identifiants, même si les liens vous renvoient vers votre login à la banque, ils seront également envoyés aux pirates qui ont fait cette page et ce mails. Il leur suffira alors de se connecter à votre compte avec les identifiants que vous leur avez envoyé et après, seule votre imagination est la limite.

C’est ce qu’on appelle “Hameçonnage” (“phishing”, en anglais).

La définition exacte de Wikipedia est:

L’hameçonnage (l’anglicisme phishing [ˈfɪʃɪŋ] Écouter étant couramment utilisé) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte d’identité, date de naissance, etc.

En effet, le plus souvent, une copie exacte d’un site internet est réalisée dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter.

La victime va ainsi saisir ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime et pourra dérober tout ce que la victime possède sur ce site.

L’attaque peut aussi être réalisée par courrier électronique ou autres moyens électroniques.

Lorsque cette technique utilise les SMS pour obtenir des renseignements personnels, elle s’appelle SMiShing.

Nous allons voir ici quelques trucs qui vont vous permettre de faire la différence et de ne plus tomber dans le piège. Vous pouvez, si vous le préférez, voir la vidéo:

La mauvaise adresse

Vérifiez dans l’en-tête qui vous envoie ce mail.

Toutes les grandes entreprises ont leur propre nom de domaine et celui-ci est protégé: labanquepostale.fr, credit-agricole.fr, etc.

Dans ce cas, par exemple, on peut voir que le mail est prétendu envoyé depuis le Crédit Agricole mais on peut voir que l’adresse e-mail est “auth-creditagricole@inc.fr” donc c’est un faux.

Remarquez également qu’il n’y a pas de sujet dans le mail, ce qui est significatif des spams (indésirables) et très malpoli. Le Crédit Agricole n’enverrait jamais un mail sans sujet.

Ce mail envoyé par la “Brigade de protection des mineurs” est envoyé depuis l’adresse e-mail “dirprotectiondesmineurs@orange.fr”…

Donc des faux.

Malheureusement, n’importe qui peut écrire n’importe quoi dans un logiciel de mail donc la plus grande partie des mails piégés auront une adresse e-mail qui correspond.

La langue

Que ce soit Neflix, PayPal ou votre banque, leurs mails contiennent votre nom et pas un “Cher(e) Clіent(e), totalement anonyme.

De plus, même si j’admets qu’il y a de plus en plus de gens qui font des fautes, cela reste très rare, voire inexistant, dans des mails officiels.

Tenez, regardez bien ce mail qui se dit envoyé du Crédit Agricole:

Non seulement il commence par le bien pratique “Cher(e) Clіent(e),”, mais en plus, ce n’est pas un “l” minuscule dans “Cliente”, mais un “i” majuscule (il est plus épais qu’un “l” si vous comparez).

À la fin de la première phrase du deuxième paragraphe (non actif), il y a une virgule et non un point et donc une majuscule après la virgule.

Il manque “de” entre “sécurité” et “votre compte”. Enfin, tout en bas, on ne reçoit pas un sms, mais un “texto” ou un “SMS” (majuscules car c’est une abréviation) et on ne reçoit pas un SMS “dans” un numéro de téléphone.

Si on regarde le message prétendument envoyé par le ministère de l’intérieur, on en constate également beaucoup et ce, dès la première ligne: Je suis Monsieur Marc blablabla éluE au poste de directeur. Encore un qui ne sait pas s’il est homme ou femme?

Il/elle nous contacte par rapport à de la “Cyber pornographie, exhibitionniste, trafic sexuelle”… Bref, toujours ce problème entre le masculin et le féminin. Je vous laisse jouer pour trouver toutes les fautes. Téléchargez le fichier PDF d’ici.

Même si personne n’est à l’abri d’une faute d’inattention, il y a quand même des limites.

Le lien

Mais il peut arriver que la copie soit tout à fait fidèle à l’original et que ce soit très bien fait. C’est rare, mais ça arrive.

Comment alors voir ce qui est quoi?

Vérifiez le lien sur lequel on vous demande d’appuyer.

En bas de tout logiciel, il y a une barre qui contient des informations diverses, dépendamment du logiciel utilisé. C’est ce qu’on appelle “la barre d’état” (ou de statut).

Dans le logiciel que j’utilise pour écrire cet article, je peux voir dans la barre d’état le nombre de mots, de caractères et de lignes que j’ai écrit jusqu’ici.

Si vous reposez votre souris sur un lien, que ce soit dans votre navigateur ou dans votre logiciel de mail, vous verrez alors s’afficher où ce lien vous mène. Sur certains logiciels (comme le mien), vous pourrez même voir le lien s’afficher près du marqueur de votre souris.

Et là, on peut donc voir que le lien du crédit agricole mène à “umu.link/santa”, celui de la Banque populaire mène à “tomas-group.com” et ainsi de suite.

Donc, des faux.

En règle générale, il faut toujours être attentif aux liens sur lesquels on clique avant de cliquer.

Faites un tour dans votre boîte aux lettres, visitez éventuellement votre dossier “indésirables” (spam) et jouez le jeu de la reconnaissance. Voyez si vous trouvez ces signes et apprenez à les reconnaître du premier coup d’oeil, cela vous évitera bien des désagréments, cher(e) client(e). (Cyril Malka)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut