Qu’est-ce que l’hameçonnage ?

En français, le terme est explicite. Un hameçonnage est destiné à vous attirer et vous ferrer, comme le fait un pêcheur avec son hameçon et l’appât au bout de sa ligne, afin de vous attraper.
Le pirate est le pêcheur, vous êtes le poisson.
Le but du pêcheur est ici de soutirer en douceur à sa victime des informations personnelles confidentielles comme vos coordonnées ou vos identifiants sur votre compte bancaire en ligne par exemple. Il n’aura nul besoin de vous torturer pour les obtenir, c’est vous qui allez les lui offrir, sans aucune contrainte.

 

Comment ça se présente ?

La plupart du temps, ce sera par un courriel dont le contenu va vous inquiéter et vous mettre sous pression afin que, sans trop réfléchir, vous utilisiez le lien qui y est présent dans le but, par exemple, d’aller vérifier que votre compte bancaire n’a pas été piraté (comme vous le courriel vous le laisse croire) ou, aussi, de contrôler comment quelqu’un a pu usurper votre identité et passer une commande de matériel coûteux en votre nom ou, encore, de contrôler sur votre compte bancaire comment vous pouvez brutalement vous trouver à découvert.

Si le courriel de phishing vous fait paniquer et agir sans trop réfléchir, c’est qu’il est réussi !

 

 

Qu’est-ce que vous risquez ?

Si vous avez le malheur d’utiliser un des liens présents dans le courriel que vous avez reçu, vous pouvez être dirigé vers un site web malfaisant qui, au choix :

• Va injecter dans votre ordinateur ou smartphone un bout de logiciel également malfaisant comme un « keylogger », par exemple, un outil qui va capter tout ce que vous tapez sur votre clavier et sur quel site vous le faites et qui, sans que vous le sachiez, va envoyer ces infos via Internet au créateur du piège ;
• Aura l’apparence, la couleur, le goût et l’odeur du site de votre banque ou de celui de votre assurance-vie afin que, sans la moindre méfiance, vous y utilisiez vos identifiants de connexion ;
• Vous incitera à dégainer votre carte bancaire pour payer en urgence un montant dont, par exemple, on vous menace qu’il serait doublé le lendemain faute de l’avoir fait à temps ou bien afin de recevoir un colis prétendument taxé par les douanes et en attente dans leurs entrepôts avant renvoi le lendemain vers l’expéditeur.

Dans les cas cités ci-dessus (la liste n’est pas limitative), et c’est le but recherché par le pêcheur, une fois que vous les avez tapés et validés, vos identifiants ou les informations de votre carte bancaire n’auront alors plus de secret pour lui et il pourra les utiliser à votre place pour, par exemple, siphonner votre compte bancaire en effectuant des virements vers un compte extérieur ou payer quelque chose en ligne à votre place.

 

Comment éviter cette arnaque ?

Sans pouvoir garantir un succès à 100%, vu l’amélioration constante des techniques utilisées par les escrocs, il existe un certain nombre de vérifications simples qu’il va être important d’effectuer avant de cliquer sur un quelconque des liens présents dans le courriel.

 

L’origine du courriel

On passe sur le fait de recevoir des messages venus de personnes inconnues ou d’organismes avec lesquels vous n’avez aucun lien.
Si vous n’avez de compte à la Société Générale, par exemple, vous n’avez aucune raison de recevoir de la part de cette banque un message vous signalant que vous devez vite valider les nouvelles conditions de gestion de « votre » compte.
Mais ça, c’est facile à repérer.
Votre réflexe sera de poubelliser directement le courriel ainsi reçu.
Mais si le message provient de quelqu’un ou d’un organisme que vous connaissez alors les autres vérifications s’imposent.

 

L’adresse mail de l’expéditeur

L’adresse mail de l’expéditeur doit généralement contenir le nom de domaine habituellement utilisé par l’entreprise qui vous contacte (il existe des exceptions, mais les expliquer ici serait trop entrer dans les détails dans un article déjà long).

 

Si l’adresse mail de l’expéditeur ne se termine pas par le nom de domaine habituel de l’entreprise qui vous contacte, vous devez alors devenir très méfiant.
Mais attention, cette vérification n’est pas suffisante : n’importe quel pirate expéditeur d’un message peut mettre n’importe quelle adresse d’expéditeur. Il lui sera facile, par exemple, de mettre comme adresse d’expéditeur l’adresse contact@bnp-paribas.fr dans le cas d’un mail supposé venir de BNP Paribas.

 

La langue utilisée et sa qualité

Si, par exemple, vous recevez un message dont l’objet est « votre compte a été expiré », dans le but de vous faire réagir très vite cliquer sur le lien inclus dans le courriel afin d’empêcher l’expiration de ce compte auquel vous tenez ou simplement pour comprendre pourquoi ce message vous a été adressé, vous comprenez immédiatement que le pirate qui vous a envoyé ce courriel ne maîtrise pas notre langue puisqu’il n’a pas écrit « votre compte a expiré ».

L’absence de maîtrise du français dans un message prétendument officiel est un critère de réflexion.

 

L’adresse web vers laquelle pointent les liens présents dans le courriel

Dans le cas d’un mail d’hameçonnage très réussi ayant passé les vérifications précédentes, c’est ici qu’il va se trahir, et c’est là que la vigilance ultime est de mise !
Il est en effet extrêmement important que le lien vous amène sur un site ayant un nom de domaine appartenant à l’organisme prétendument expéditeur du courriel.
Dans le cas contraire, même si le site ressemble comme deux gouttes d’eau à celui auquel vous êtes habitué, il est très probable qu’il s’agit d’un site piège.

Avant de cliquer sur ce lien vous avez au moins deux méthodes pour connaître son adresse cible :

• En général, le simple survol du lien avec votre souris, provoque l’affichage de l’adresse cible en bas à gauche de la fenêtre de votre navigateur Internet ;
• Mais ça ne marche pas toujours. Dans ce cas, vous pouvez effectuer un clic droit (surtout pas gauche) sur le lien et, dans le menu qui s’affiche, vous trouvez le choix « Copier l’adresse du lien ». Une fois ce choix cliqué, vous pouvez ouvrir le bloc-notes et y coller l’adresse ainsi copiée afin de l’étudier de près.

Il est impératif d’étudier avec beaucoup d’attention cette adresse qui peut être très trompeuse !

Vous en saurez plus avec les exemples ci-dessous.

 

Ce qu’il faut retenir

 

L’extrême vigilance est de mise !

Même si le contenu du message vous inquiète, voire vous panique (son but est de vous faire réagir sans réfléchir), commencez d’abord par le relire calmement, plutôt deux fois qu’une en essayant d’y découvrir les failles citées ci-dessus qui trahiront le courriel piège.

Et si jamais vous cliquez quand même sur le lien contenu dans le message,

• Assurez-vous au minimum que l’adresse de la page sur l’adresse vous avez abouti est bien une adresse de l’entreprise qui vous a contacté et avec laquelle vous êtes supposé avoir une relation (sans quoi, pourquoi vous pousserait-elle à faire une action en ligne ?) ;
• Refaites un maximum de vérifications avant de saisir vos identifiants ou les informations de votre carte bancaire.

 

Quelques exemples

 

Un courriel prétendument envoyé par Darty

Voici un courriel reçu par l’auteur de ces lignes et confirmant un achat chez Darty.
En voici une copie d’écran (les données personnelles ont été cachées).

 

Comme vous n’avez jamais fait cette commande et qu’elle va être livrée à un individu que vous ne connaissez pas, votre réaction non réfléchie sera d’imaginer que quelqu’un a usurpé votre identité puis de très vite cliquer sur le lien (il commence bien par « https://www.darty.com », l’adresse du site de Darty) pour tenter d’annuler cette commande de près de 1000 € faite à votre insu.

Eh bien non, surtout pas ! L’adresse que vous voyez dans le lien est trompeuse !

Mais d’abord, voyons l’adresse mail de l’expéditeur.
Le nom de domaine est sas-darty.com. Même s’il contient le nom de l’entreprise, ce n’est pas un nom qu’elle utilise habituellement. Ça doit déjà vous mettre la puce à l’oreille.
Et cette puce a des raisons de venir vous démanger un peu plus car le courriel ne contient pas le logo de Darty, ce qui n’est pas dans ses habitudes de communication.

Revenons maintenant au lien qu’on vous incite à cliquer.

Si vous procédez comme indiqué précédemment pour connaître la véritable adresse web vers laquelle pointe ce lien, vous obtiendrez ceci :

https://www.darty.com.annulation-hdr.com/index3.php?id=100041284
(ne la recopiez pas dans la barre d’adresse de votre navigateur Internet !)

 

Il se trouve que cette adresse correspond exactement au lien affiché dans le courriel.
Vous pouviez donc directement constater l’anomalie.
Mais le pirate a manqué de jugeote car, plus intelligemment et plus trompeur, il aurait pu cacher la même adresse cible sous le texte « http://www.darty.com » : le texte lisible du lien n’est pas forcément l’adresse cible effective.

Toujours est-il que cette adresse est extrêmement trompeuse et il faut la décomposer avec attention pour se rendre compte qu’elle est piégeuse.
Car, si elle commence bien par « https://www.darty.com » (super ! c’est bien l’adresse de Darty !), le véritable nom de domaine cible, ce qui précède le « / », est « annulation-hdr.com », qui n’a rien à voir avec l’enseigne, ce qui précède dans cette adresse étant simplement un nom de sous-domaine destiné à vous faire croire en lecture rapide que vous allez bien aboutir chez Darty.

C’est vicieux, astucieux et efficace pour piéger l’individu naïf que vous n’êtes dorénavant plus, à supposer que vous l’ayez été.

Que se passe t-il à cette adresse une fois qu’on a cliqué sur ce lien piégeux ?
L’auteur de ces lignes ne le sait pas, il n’est pas allé voir. Mais il ne serait pas étonné que la page cible, probablement similaire à une page de Darty, vous indique que, pour annuler la commande et vous faire rembourser, il vous faut saisir toutes les informations de votre carte bancaire.

 

Un courriel prétendument envoyé par La Poste

Voici un courriel également reçu par l’auteur de ces lignes et signalant qu’un colis est en attente de livraison à la condition de payer les taxes douanières.

En voici une copie d’écran (les données personnelles ont été cachées).

 

 

Cette fois, il y a bien le logo de La Poste.

Mais au moins deux choses doivent provoquer immédiatement vos doutes.

1. Le nom de domaine de l’adresse mail de l’expéditeur est « lapost.com », sans « e » à la fin. Premier niveau (très élevé) de doute.
2. Le message se termine en bas par l’expression anglaise « All rights reserved ». Jamais La Poste n’utilse ce genre de formule en anglais. Deuxième niveau de doute.

Ce qui précède serait déjà suffisant pour que vous poubellisiez directement ce message.

Mais poussons l’analyse un peu plus loin en regardant vers quelle adresse point le lien « cliquez ici ». Il s’agit de celle-ci :
https://tawjihi.tk/

Dans le nom de domaine, on peut lire un nom bizarre inconnu (« tawjihi ») terminé par l’extension « .tk » qui correspond à l’archipel d’atolls des Tokelau en Nouvelle-Zélande.
Croyez-vous vraiment que La Poste ait des raisons de vous faire voyager là-bas, même si c’est virtuellement ?

 

Un courriel prétendument envoyé par le site d’offres d’emploi Indeed

Ce courriel est en anglais. Et son objet est préfixé d’un texte qui indique qu’il a été détecté comme un probable pourriel. Ce serait peut-être déjà pour vous de bonnes raisons de le poubelliser directement.

Mais imaginons que ce ne soit pas le cas.
Ce message vous indique qu’il vous faut vérifier votre connexion à votre compte Microsoft OneDrive (si vous n’en avez pas, la supercherie est vite découverte).
Pour rappel, OneDrive est la solution de cloud de Microsoft où vous pouvez téléverser vos fichiers importants ou ceux que vous souhaitez partager avec d’autres personnes.
Mais voyons sa technique d’hameçonnage.

 

Là, le nom de domaine de l’adresse mail expéditrice est bien celui de l’organisme (rappel : un pirate peut parfaitement envoyer un message avec n’importe quelle adresse d’expéditeur).
Cette concordance pourrait être rassurante.

En plus, le courriel ne comporte pas de lien à cliquer, mais une simple pièce jointe (que le message conseille de télécharger afin de vérifier votre connexion à OneDrive).
Par contre, si cette pièce jointe est déguisée en fichier PDF (la première extension après le nom « INDEED FILE », il s’agit en réalité d’un fichier HTML (la deuxième extension) qui s’apparente donc à une page web qui sera ouverte dans votre navigateur Internet lorsque vous chercherez à l’ouvrir.

Une fois cette page web affichée, elle propose un formulaire de saisie préalablement rempli avec votre adresse mail et vous demandant de saisir le mot de passe de votre compte OneDrive.

Si vous faites ça et que vous cliquez sur le bouton de validation du formulaire, vous serez alors redirigé vers un site piraté dans lequel l’escroc a installé un code qui va récupérer votre mot de passe. Ainsi, muni de votre adresse mail et de votre mot de passe, le pirate pourra aller se balader dans vos documents stockés dans le cloud et, qui sait, y récupérer des informations qui lui permettront d’usurper votre identité, de vous voler des infos confidentielles voire de vous faire chanter.