Il peut être difficile de repérer une escroquerie par hameçonnage si vous ne connaissez pas les signes à surveiller. Les courriels de phishing deviennent tellement convaincants et réalistes qu’il est parfois difficile de savoir ce qui est authentique et ce qui est une arnaque. Souvent, les pirates créent un sentiment d’urgence dans les attaques de phishing afin d’encourager les utilisateurs à réagir avant de réfléchir.

Les attaques par hameçonnage constituent une menace sérieuse pour la cybersécurité et peuvent entraîner des violations de données, des pertes financières, des logiciels malveillants et des vols d’identité.

Certains courriels d’hameçonnage sont faciles à repérer : il peut s’agir d’un courriel étrange, voire étranger, vous demandant de transférer de l’argent sur un compte bancaire. D’autres peuvent sembler légitimes, avec des logos et des identifiants d’entreprises telles que PayPal ou Amazon, vous demandant de vous connecter à votre compte ou de communiquer des informations confidentielles. Si vous découvrez une escroquerie par hameçonnage, apprenez à la signaler.

Comment faire la différence entre un courriel de phishing et un courriel légitime ? Malheureusement, il n’existe pas de technique unique qui fonctionne dans toutes les situations, mais il y a plusieurs éléments que vous pouvez rechercher et que nous avons énumérés ci-dessous.

Le message contient une URL non concordante

L’une des premières choses à vérifier dans un message électronique suspect est l’URL qui y est incorporée. Souvent, l’URL d’un message d’hameçonnage semble parfaitement valide. Cependant, si vous passez votre souris au-dessus de l’URL, vous devriez voir l’adresse hyperliée réelle et si cette adresse hyperliée est différente de l’adresse électronique affichée, le message est probablement frauduleux ou malveillant. Il est important de se rappeler que les adresses électroniques et les noms de domaine peuvent être facilement usurpés.

Dans ce cas, ne cliquez pas sur le lien, signalez-le si possible ou ne prenez aucune autre mesure.

Les URL contiennent un nom de domaine trompeur

Les escrocs qui sont à l’origine des escroqueries par hameçonnage comptent généralement sur le fait que leurs victimes ne savent pas comment fonctionne la structure de nommage DNS des domaines pour les piéger.

La dernière partie d’un nom de domaine vous permet de savoir s’il s’agit d’un courriel de phishing ou non. Par exemple, le nom de domaine info.cybersecurity.com serait un domaine enfant de cybersecurity.com parce que cybersecurity.com apparaît à la fin du nom de domaine complet (du côté droit).

À l’inverse, cybersecurity.com.maliciousdomain.com ne proviendrait pas de cybersecurity.com car la référence à cybersecurity.com se trouve à gauche du nom de domaine.

Il s’agit d’un moyen courant d’essayer de convaincre les victimes qu’un message provient d’une société comme Microsoft ou Apple. Le cybercriminel crée simplement un domaine enfant en utilisant le nom de Microsoft ou d’Apple. Le nom de domaine qui en résulte ressemble alors à quelque chose comme ceci : Microsoft.maliciousdomainname.com.

Mauvaise orthographe et mauvaise grammaire

C’est l’un des principaux indicateurs de la nature frauduleuse de l’e-mail. Si une société ou une entreprise légitime envoie un courrier électronique, celui-ci est généralement corrigé et vérifié pour éviter toute erreur d’orthographe ou de grammaire ; si vous remarquez quelques erreurs dans le courrier électronique, il pourrait s’agir d’un fraudeur.

Relisez toujours l’e-mail et vérifiez qu’il ne contient pas d’erreurs. N’oubliez pas que si vous ne le sentez pas ou ne le voyez pas bien, c’est qu’il n’est probablement pas correct !

Demande d’informationsDemande d’informations personnelles

Aussi réaliste et officiel que puisse paraître un courriel, il est toujours mauvais signe que l’expéditeur demande des informations personnelles. Votre banque n’a pas besoin que vous lui transmettiez votre numéro de compte, votre code de tri ou toute autre information concernant votre compte, car elle le connaît déjà.

Une entreprise digne de confiance ne devrait jamais envoyer un courrier électronique vous demandant votre mot de passe, votre numéro de carte de crédit ou la réponse à une question de sécurité. Si vous n’êtes pas sûr, vous pouvez toujours appeler directement l’entreprise ou la banque pour lui demander les informations dont elle prétend avoir besoin.

Une offre qui semble trop belle pour être vraie

Il existe une croyance selon laquelle si quelque chose semble trop beau pour être vrai, c’est probablement le cas. Si vous recevez un courriel contenant une offre alléchante ou une personne faisant de grandes promesses, il s’agit probablement d’une escroquerie.

De nombreux courriels d’hameçonnage circulent également, prétendant que vous avez gagné une loterie à laquelle vous n’avez pas participé, ou un concours auquel vous n’avez pas postulé. Tout ce que l’escroc attend de vous, c’est que vous cliquiez sur le lien et que vous saisissiez vos informations sensibles en ligne. Ce type d’e-mails est envoyé chaque jour à des victimes du monde entier. Quel que soit le nombre de zéros sur le prix, ne tombez pas dans le panneau.

Demander un don

Aussi incroyable que cela puisse paraître, les escrocs envoient souvent des attaques de phishing invitant les destinataires à faire un don à une bonne cause après une tragédie naturelle ou autre, et beaucoup de gens tombent dans le panneau. Vous ne devez jamais envoyer d’argent à quelqu’un que vous ne connaissez pas ou en qui vous n’avez pas confiance, ni donner vos coordonnées à une personne que vous n’avez pas rencontrée ou qui ne provient pas d’une source fiable.

En ce qui concerne les courriels d’hameçonnage, l’essentiel est de toujours procéder à une double vérification et de ne jamais cliquer sur un lien ou une pièce jointe, ni donner des informations confidentielles ou des mots de passe si vous avez des doutes ou si cela vous semble suspect. Il vaut toujours mieux prévenir que guérir.

Connaître les éléments clés des tentatives d’hameçonnage peut vous permettre d’éviter que vos comptes soient compromis.

Pour plus d’informations sur les attaques de phishing, lisez notre autre blog sur le phishing ici.