Le phishing est une méthode d’arnaque redoutable qui sévit dans à peu près tous les domaines : banque, administration, moyens de paiement, comptes email…
Le phishing, comment ça marche ?
Le phishing (ou hameçonnage en français) peut avoir un objectif différent :
- Vous faire payer directement sur un site frauduleux (ex : sur un faux site Paypal
- Récupérer des données de paiement (numéro de carte bancaire)
- Récupérer des identifiants et mot de passe (banque, compte téléphonique, compte email…)
Dans tous les cas, la méthode reste à peu près la même : l’escroc forge un email qui ressemble à celui d’un organisme officiel vous demandant des informations ou de payer en ligne. Les escrocs vont jusqu’à reprendre les éléments graphiques du site (logo), les mentions légales de la société, etc.
Un clic sur un lien situé dans l’email vous fait arriver sur un faux site. Ensuite, vous payez par carte bancaires (ils débitent votre compte) ou bien entrez vos informations de connexion (ex : celles de votre compte Paypal) et le tour est joué, ils vident votre compte.
Comment repérer le phishing?
La méthode la plus fiable pour repérer un email de phishing est de regarder deux choses :
- Point le plus important : vers quel site pointent les liens contenus dans l’email ? Attention, souvent la plupart des liens de l’email sont bons, par exemple, en bas d’un email de phishing Paypal, vous aurez écrit « www.paypal.fr – tous droits réservés » par exemple et un clic sur le lien vous emmènera bien sur le site de Paypal. En revanche, la partie de l’email vous poussant à agir (paiement en ligne, connexion) ira souvent sur un site qui prétend être paypal. Pour vous en assurer, regarder l’URL du site une fois que vous aurez cliqué sur le lien. Souvent, l’arnaqueur aura créé un sous-domaine avec le nom paypal, mais c’est ce qui est à droite du domaine qui détermine l’origine du site. Ainsi, http://paypal.fr.url-bidon.com appartient à url-bidon.com. Un webmaster peut choisir d’écrire n’importe quoi avant cet URL.
- Qui est le vrai expéditeur ? Si vous voyez service@paypal.fr en expéditeur, cela ne veut pas forcément dire que c’est le cas ! D’un point de vue technique, il est très facile d’envoyer un email de la part de Bill Gates. En faisant « répondre » à l’email, on peut souvent voir une autre adresse email apparaître, par exemple paypal@nom-du-site-arnaque.ru »
D’autre part, nous vous conseillons de toujours vous référer au site plutôt qu’aux emails. Lors d’échanges sur une plate-forme telle que Looper, Paypal ou La Poste (pour un suivi de colis), allez vérifier sur le site officiel, une fois connecté, ce qu’il en est. En effet, un email trafiqué peut très bien avoir été créé pour vous faire croire, par exemple, que le produit a été expédié, mais le site de suivi de La Poste, lui, ne pourra pas être falsifié (étant entendu que vous devez vérifier être sur le bon URL, en l’occurence http://www.laposte.fr/particulier/outils/suivre-vos-envois )