Avec le nombre croissant d’emails reçus chaque jour, les cybercriminels s’en donnent à cœur joie et il n’est pas toujours facile de discerner les courriers légitimes de ceux qui ne le sont pas. Pourtant, certains indices simples permettent de reconnaître un message frauduleux et d’éviter parfois de très gros problèmes.
Petit retour sur le spam
Voici les trois principaux types de spam, aussi désigné sous le terme de « courrier indésirable » :
- Le spam publicitaire est fréquent, mais ne représente pas de gros danger. Il s’agit simplement d’un email publicitaire non désiré, avec une offre de produit ou de service.
- Le phishing est bien plus dangereux, car il s’agit d’une véritable arnaque visant à récupérer des données confidentielles vous concernant (mots de passe, coordonnées bancaires, etc.) pour ensuite les utiliser à vos dépens.
- L’escroquerie est, elle aussi, particulièrement dangereuse puisqu’elle a pour but final de voler votre identité et/ou d’abuser de votre confiance en vous soutirant de l’argent par exemple.
Nous nous intéresserons ici principalement au phishing.
Tentatives de phishing : comment reconnaître une fausse adresse email ?
Vérifier la légitimité de l’adresse expéditeur
La plupart du temps, les auteurs de tentatives de phishing se font passer pour des entreprises ou des personnes de confiance, donc supposées être légitimes, afin de vous duper.
Commencez par regarder le nom de domaine de l’adresse qui se trouve après le symbole « @ ». S’il est inconnu et/ou différent du nom de l’expéditeur, dans ce cas méfiez-vous. Par exemple, un email provenant d’une banque (expéditeur) doit contenir le nom de domaine de ladite banque.
Sachez aussi qu’aucune grande organisation ne vous enverra un email avec un domaine de messagerie public comme Hotmail ou Gmail par exemple. Si le message provient réellement de votre banque, des impôts ou toute autre institution sérieuse, le nom de domaine sera celui de l’institution en question.
Vérifier l’orthographe complète de l’adresse expéditeur
L’autre astuce dans le domaine du phishing consiste à imiter le nom d’un organisme connu en changeant subtilement l’orthographe du nom de domaine, de manière que le destinataire de l’email ne s’en aperçoive pas au premier coup d’œil. Le « m » peut prendre la forme « rn », le « S » peut être remplacé par un « 5 », etc. Il peut aussi s’agir d’un mot ou d’un numéro raccroché au nom de l’entreprise connue. Ainsi, si la personne qui reçoit le courrier n’est pas assez vigilante et ne vérifie pas avec attention l’orthographe de l’adresse expéditeur, elle peut aisément penser que l’envoi est légitime.
Comme le dit le proverbe anglais : « The devil is in the details », « Le diable est dans les détails ».
Bon à savoir
- Regardez le nom de l’expéditeur et l’adresse email au complet : les deux doivent être liés.
- Pour vérifier l’adresse email complète de l’expéditeur, placez le curseur de votre souris sur le nom affiché. Si celle-ci vous semble frauduleuse, ne prenez même pas la peine d’ouvrir le courrier.
- Si l’email semble provenir d’une organisation que vous connaissez et avec laquelle vous avez déjà correspondu, mais que vous avez tout de même un doute, copiez l’adresse complète indiquée, puis comparez-la à celle des autres emails légitimes reçus par le passé afin de voir si elle est bien identique.
Concernant le message
Outre l’adresse, sachez que le contenu de l’email fournit des indications sur la légitimité de son expéditeur. Plusieurs signes peuvent indiquer qu’il s’agit d’une tentative de phishing :
- La formule de salutation est inappropriée ou étrange.
- Le message contient plusieurs fautes d’orthographe et/ou de grammaire.
- L’expéditeur vous presse à agir rapidement, voire vous menace d’une éventuelle sanction si vous ne faites rien et si vous ne répondez pas à son injonction. À l’opposé de la menace, il peut aussi s’agir de la promesse d’un gain financier qui vous est soi-disant dû et que vous devez récupérer en cliquant par exemple sur un lien.
- L’expéditeur vous demande des informations personnelles comme des identifiants ou vos coordonnées bancaires.
- Le lien ou la pièce jointe semblent douteux.
Malgré toutes ces précautions, sachez que les cybercriminels font preuve d’une grande créativité et ne cessent de se perfectionner. Il est donc impératif de toujours rester vigilants et de prendre le temps de bien vérifier la légitimité des emails que vous recevez afin de prévenir les risques de fraude. Si vous repérez une tentative de spam, pensez à la signaler et à bloquer l’expéditeur. Pour cela, cliquez sur les trois petits points en face de l’adresse email, ces différentes options vous seront ensuite proposées.