Qu’est-ce qu’un e-mail de phishing et comment peut-on reconnaître ce faux e-mail ?

Faire croire à des utilisateurs crédules qu’ils ont affaire à un interlocuteur fiable, de manière à pouvoir leur soutirer de l’argent ou des données confidentielles, ou encore les bombarder de logiciels malveillants : voilà en quelques mots ce que l’on entend par ‘phishing’. Mais qu’y a-t-il derrière tout cela ? Et comment peut-on éviter de tomber dans le piège d'un e-mail de phishing ?

Quel est le but d’un e-mail de phishing ?

En gros, les cybercriminels utilisent de plus en plus souvent des techniques de phishing du faut qu’il est bien plus simple de faire en sorte qu’une personne clique sur un lien que de s’introduire dans son ordinateur. L’attaquant se fait passer pour un interlocuteur fiable, voire quelqu’un que vous connaissez, pour gagner votre confiance. Le faux e-mail qu’il vous envoie a donc l’air authentique, avec p. ex. le logo de l’entreprise pour laquelle ilprétend travailler (votre banque, une boutique en ligne où vous faites régulièrement vos achats…).

Warning phishing mailsLe but de l’attaquant : mettre la main sur vos données confidentielles (nom d’utilisateur, mot de passe, données bancaires…) ou infecter votre ordinateur avec des logiciels malveillants (logiciels espions, enregistreurs de frappe, rançongiciels…). L’e-mail est p. ex. accompagné d’une pièce jointe que vous ouvrez en toute confiance. Ou il s’y trouve un lien, qui vous conduit directement sur le site web frauduleux de l’entreprise, où vous saisissez vos identifiants de connexion en toute insouciance.

Récemment, un e-mail de phishing de ce genre a notamment été envoyé aux utilisateurs de Combell. En cliquant sur le lien contenu dans cet e-mail, ces derniers étaient redirigés vers une parfaite contrefaçon de notre panneau de contrôle My Combell.

Le fait que vous ayez reçu un e-mail de phishing ne signifie pas que l’attaquant a subtilisé vos données en piratant l’entreprise dont elle utilise le nom de façon abusive.

Phishing mail herkennenEn saisissant vos données sur une telle contrefaçon d’un site web ou d’un panneau de contrôle, vous permettez au cybercriminel d’effectuer des opérations bancaires sur Internet en votre nom, d’effectuer des achats, etc. Votre identité peut également être utilisée dans le cadre d’autres tentatives d’escroquerie ou de fraude, pour lesquelles le cybercriminel se fait passer pour vous. Dans le cas de l’opération de phishing liée à Combell, l’attaquant aurait pu, au moyen de vos identifiants de connexion, se connecter au panneau de contrôle My Combell, et p. ex. avoir accès aux bases de données contenant des informations concernant vos utilisateurs.

Soit dit en passant, les cybercriminels peuvent faire un usage abusif d’à peu près n’importe quel moyen de télécommunication pour perpétrer leurs attaques (téléphone, SMS, réseaux sociaux, e-mail…). Dans cet article, nous allons nous limiter à l’e-mail, la méthode la plus courante, mais méfiez-vous également des autres moyens de communication !

 

Pourquoi êtes-vous la cible d’un e-mail de phishing ?

Le fait que vous ayez reçu un e-mail de phishing ne signifie pas que l’attaquant a subtilisé vos données en piratant l’entreprise dont elle utilise le nom de façon abusive.

Les attaquants utilisent en effet toutes sortes de méthodes pour accéder aux adresses mail de leurs victimes potentielles. Songez p. ex. aux informations Whois publiques liées aux noms de domaines, aux noms et coordonnées des collaborateurs qui sont mentionnés sur le site web d’une entreprise, aux réseaux sociaux, etc. Sur le web, on peut trouver des quantités incroyables d’informations sur une personne – chose que de plus en plus d’internautes trouvent scandaleuse !

Souvent, des e-mails sont même envoyés à des adresses générées au hasard. Il est fort probable que vous aussi, vous ayez déjà reçu un e-mail de phishing d’une banque quelconque, chez laquelle vous n’avez absolument aucun compte… Nous vous conseillons toutefois de dénoncer toute tentative de phishing à l’entreprise dont le nom a été utilisé de manière abusive, et sur SafeOnWeb.

 

Pouvez-vous reconnaître un e-mail de phishing à son expéditeur ?

Phishing mails analyserenMalheureusement, les e-mails de phishing sont de plus en plus difficiles à reconnaître. Souvent, il s’agit de copies parfaites des e-mails que vous recevez des entreprises légitimes, avec le logo et tout le reste. Et si autrefois il était encore possible de facilement reconnaître les e-mails de phishing au piètre français utilisé dans le texte, les choses sont aujourd’hui plus compliquées, d’importants progrès ayants été réalisés sur le plan linguistique.

Les cybercriminels utilisent différentes techniques pour vous tromper. Pour commencer, ils utilisent une fausse adresse d’expédition. Cette technique, appelée ‘spoofing’, est super simple. N’importe qui peut en effet compléter n’importe quel nom d’expéditeur dans son client de messagerie.

Il n’existe aucune manière infaillible de savoir qui est le véritable expéditeur d’un e-mail. Cela étant, le chemin parcouru par l’e-mail peut vous fournir quelques indications concernant l’expéditeur. Ce chemin peut être découvert en rendant tous les en-têtes visibles dans votre client de messagerie (découvrez nos instructions pour Thunderbird, Outlook, MacMail…).

Vous pouvez également apporter votre contribution en évitant que d’autres personnes puissent usurper votre adresse mail. Pour ce faire, créez un enregistrement SPF sur votre domaine (voir : créer un enregistrement SPF).

 

Le piège le plus couramment utilisé dans les e-mails de phishing : les liens camouflés

Généralement, le lien contenu dans un e-mail de phishing est lui aussi parfaitement camouflé. Derrière un simple ‘cliquez ici’, qui peut sembler tout à fait inoffensif, l’attaquant peut parfaitement glisser l’adresse du site web qu’il a spécialement créé. Et même si une URL est mentionnée dans le texte, l’adresse web qui se cache derrière le lien peut être totalement différente. Le texte peut p. ex. mentionner www.monentreprise.be, alors que le lien pointe vers une toute autre adresse.

Si vous pensez avoir reçu un e-mail de phishing, vérifiez si les liens contenus dans l’e-mail pointent bien vers le site web de l’expéditeur. Avez-vous des doutes ? Saisissez vous-même l’adresse !

 

Comment pouvez-vous déchiffrer le lien sous-jacent ?

  • Si vous travaillez sur votre ordinateur de bureau, activez la barre d’état dans votre client de messagerie ou votre navigateur web (Affichage>Barre d’état). Survolez le lien avec votre curseur, et vous verrez l’adresse dans la barre d’état. Ou faites un clic droit sur le lien et copiez-collez-le depuis votre presse-papiers pour pouvoir l’étudier de plus près.
  • Si vous consultez l’e-mail sur votre iPad ou iPhone, appuyez longuement sur le lien. Un menu contextuel apparaîtra en haut, révélant la véritable adresse.
  • Analysez et tâchez de comprendre la structure du lien. La véritable adresse web vers laquelle vous êtes redirigé se compose du nom de domaine et de l’extension (.be, .com, .biz, .shop…) qui se trouvent juste avant la première barre oblique (/). Ne vous laissez donc pas berner par une adresse telle que https://mabanque.be.fraude.com/connexion, où fraude.com est l’adresse web (frauduleuse), et non mabanque.be !
  • Soyez également vigilant à l’égard du ‘spoofing homographique’, une technique consistant à remplacer certaines lettres d’un nom de domaine par des caractères ayant l’air identiques. La lettre O peut en effet être remplacée par un 0 (zéro), un i par un !, un I (lettre i majuscule) par un l (lettre l minuscule), et ainsi de suite. Wikipédia vous fournira de plus amples informations sur les attaques homographiques.
  • Soyez aussi extrêmement prudent face à des réducteurs d’URL tels que t.co ou goo.gl. Partez tout simplement du principe qu’il n’y a absolument aucune raison légitime de raccourcir une URL dans un e-mail !
  • Et last but not least, en cas de doute, saisissez vous-même l’adresse de votre banque, votre boutique en ligne, etc.

Méfiez-vous des e-mails qui vous demandent de vous connecter à des sites web qui conservent des informations confidentielles vous concernant. Un doute persiste ? Saisissez l’adresse vous-même ! Une bonne dose de méfiance peut vous éviter des tas d’ennuis !

Lisez plus: Êtes-vous tombé dans un piège de phishing ? Voici comment limiter les dégâts.