Articles FRSécurité

Phishing ou hameçonnage : comment l’identifier et s’en protéger ? 🎣

Introduction

Dans cet article, on va voir un sujet important qu’est le Phishing ou hameçonnage : comment l’identifier et s’en protéger ? 🎣🐟


Ressources :

– Lien vers mon ancienne vidéo, toujours d’actualité, sur l’escroquerie sur Internet
Nettoyer son PC avec le logiciel gratuit Malwarebytes
Nous contacter pour découvrir la solution anti-phishing et anti-spam Mail in Black

Origine du mot Phishing

Que veut dire Phishing ? Phishing est la contraction de deux mots en anglais.
D’un côté, on a le mot Fishing qui veut dire la pêche et de l’autre côté, le mot Phreaking qui veut dire le piratage de lignes téléphoniques.
Si on contracte ces deux mots, on obtient le mot de Phishing ou hameçonnage en français.
Pourquoi va-t-on parler d’hameçonnage ?
En gros, c’est comme à la pêche, on jette l’hameçon et si on a de la « chance » (ou pas, suivant de quel côté nous nous plaçons, si on est la victime ou l’escroc), on va ferrer quelqu’un.
Soit on récupère ses données, soit on lui fait débourser des sous.

Définition du mot Phishing

Qu’est-ce que le Phishing ? C’est une technique de piratage informatique qui consiste à récupérer les données personnelles. Que ce soit un numéro de CB, une adresse, un numéro de sécurité sociale, etc.
Cela permet de monter une escroquerie derrière ou vous soutirer de l’argent.
Ces campagnes de phishing se servent d’une fausse identité publique.
La personne se fera passer pour votre banque, votre prestation téléphonique, pour un ami (si celui-ci s’est fait pirater sa boite mail).

Méthodes de phishing

Il y a donc plusieurs méthodes de phishing.
Personnellement, j’en dénombre 4.
Il y a le phishing par :

  1. téléphone,
  2. SMS,
  3. Internet lors de la navigation
  4. et surtout, le plus dominant, c’est le phishing par mails.

On estime qu’il y a environ 200 millions de faux mails qui circulent tous les jours dans le monde.

Méthode 1 – Phishing ou hameçonnage par téléphone

On commence par la première technique de hameçonnage, celle par téléphone.
Cela ressemble aux démarcheurs téléphoniques ; dans le cadre personnel, j’ai quelqu’un qui s’est escroqué il n’y a pas longtemps.
L’escroc a appelé sur le téléphone portable et s’est faite passée pour une technicienne SFR.
La victime, ayant une ligne SFR, ne s’est pas doutée.
La technicienne lui a expliqué qu’un test de ligne devait être fait et qu’elle avait besoin que la cliente la rappelle et ainsi de suite.
La cliente l’a rappelée naïvement, sans faire attention.
Elle a appelé plusieurs fois un numéro surtaxé donc il y a eu un dépassement de forfait.
Les pirates ont réussi à « voler » environ 150-160 euros.
Donc si cette opération est répétée plusieurs fois par jour sur plusieurs clients, elle est donc très bénéfique.

Comment s’en protéger ?

Ma solution pour contrer ces hameçonnages par téléphone est de ne pas décrocher.
Si les gens veulent vous joindre, ils vous laisseront un message.
Si ce n’est pas le cas, tant pis pour eux.
En ne décrochant pas, vous n’êtes pas « susceptibles » de vous faire avoir parce qu’en face, ils ont l’habitude d’embobiner les gens en se faisant passer pour Microsoft, SFR, Orange, etc.
Si vous faites confiance à ce type d’appels, vous allez vous faire escroquer.

Méthode 2 – Phishing ou hameçonnage par SMS

Pour méthode 2, on va voir les hameçonnages par SMS.

Premier exemple de SMS
Premier exemple de SMS

Le premier cas est un colis envoyé et il y a un lien Internet qui nous amènera vers un site qui lui va, soit se faire passer pour un faux site type DHL où il faut rentrer des faux numéros de tracking avec un numéro de CB, soit le site vous amènera vers une escroquerie de type faux virus qui bloquera votre navigateur.

Le premier point à discerner est que le SMS n’est pas signé, ni par l’entreprise DPD, Colissimo, etc.

Un des points importants, il n’y a pas de S au lien http donc on est pas sur une connexion sécurisée : le lien est donc à bannir dès le premier coup d’œil.
Dès qu’on reçoit ce type de SMS, plutôt que de cliquer sur le lien, si on a des commandes en cours, on va voir directement sur le site marchand afin d’obtenir un éventuel numéro de suivi.

Enfin, on peut voir qu’il y a une petite faute d’orthographe car « Veuillez le vérifier et le recevoir » n’est pas du tout cohérent donc c’est une mauvaise traduction de l’anglais au français.

Deuxième exemple de SMS

Deuxième exemple de SMS
Deuxième exemple de SMS

2ème cas d’un SMS : pour le CPF, en ce moment, cela explose, c’est magique, il y a plein d’argent qui tombe du ciel et donc vous avez le droit de faire pleins de formations gratuitement !
On est sur un lien https donc « sécurisée » mais le nom du site cutt.ly est un lien raccourci qui vous redirigera sur le site malveillant.
Ce n’est pas Noël, vous n’avez pas plus de sous sur votre compte CPF qu’avant, cela ne sert à rien de cliquer mis à part vous faire escroquer.

Troisième exemple de SMS

Troisième exemple de SMS
Troisième exemple de SMS

3ème cas d’un SMS qui ressemble beaucoup au premier sauf que l’adresse est toujours en http mais « bâtarde » car n’est pas connue, elle ne correspond à aucun numéro de tracking.

Méthode 3 – Phishing ou hameçonnage par Internet

Maintenant on passe à la troisième méthode : lors du surf Internet.
J’ai déjà fait une vidéo à ce sujet.
La vidéo date de 2018 mais, hélas, elle est toujours d’actualité et avec le Covid, les escroqueries et les tentatives de phishing ont vraiment explosées.
Cette vidéo reprend tout simplement un exemple où l’on surfe sur Internet et au lieu de tomber sur une publicité traditionnelle, on va tomber sur un message nous disant que notre PC a été verrouillé, qu’il contient un virus et qu’il faut appeler un numéro de téléphone.
Alors qu’en fait, votre PC n’a strictement rien, comme je l’expliquais, le site arrive à bloquer le navigateur en lignes de code.
Vous êtes tombé sur cette page par accident parce que eux achètent des emplacements d’encarts publicitaires sauf que, au lieu d’avoir une belle pub pour des baskets ou autres, vous avez juste cette page d’escroquerie qui vous tombe sous le nez.

Comment s’en prémunir ?

Ne pas paniquer, il suffit de suivre la vidéo, vous fermez le navigateur et vous revenez sur la page sans souci. Vous pouvez faire un petit nettoyage du PC par sécurité avec le logiciel Malwarebytes.

La quatrième et dernière méthode de phishing, c’est les mails, il y en a à foison.
On va prendre deux ou trois exemples et voir comment les identifier et, à la fin, je vous donnerais une solution pour en protéger.
La suite se passe sur le PC.

Méthode 4 – Phishing ou hameçonnage par mails

On est sur le webmail ; le webmail c’est quand vous allez consulter en ligne vos mails.
Par exemple, vous allez sur le site de SFR, vous vous connectez sur l’interface SFR.
Dans mon exemple, on est sur Yahoo mais c’est exactement pareil.
On est sur, ce qu’on appelle, un webmail c’est à dire qu’on consulte les mails directement sur le serveur de messagerie.

Premier exemple de mail via webmail

Souvent, le premier piège est le nom de l’expéditeur ou de la société et si on laisse le curseur sur ce nom, une bulle va vous afficher des adresses mails qui ne sont pas en correspondance avec ce qui est sensé être.

Premier exemple de mail
Premier exemple de mail

Déjà le nom « service ID5d4 » n’est pas correct et surtout, il y a une adresse en @outlook.com donc d’un particulier qui s’est fait pirater sa boite.
On va regarder le mail : l’entête nous confirme bien que l’adresse est bien celle d’un particulier.

Où regarder pour vérifier si c'est du phishing ou pas
Où regarder pour vérifier si c’est du phishing ou pas

On a un logo grossier de Netflix et un message d’échec donc le mail va jouer sur la peur en nous disant que le paiement de l’abonnement a échoué.
Il y a une habitude à prendre, et qui marche aussi sur les navigateurs : quand vous passez la souris sur le lien « Vérifier mon compte », l’adresse Internet s’affiche en bas de page.
Comme vous le voyez, il y a une adresse à rallonge complètement délirante qui n’a rien à voir avec Netflix.
Le mail est donc suspicieux, c’est du phishing.

Là où le mail est « bien pensé« , c’est qu’en cas d’erreur, on se dit qu’on va se désinscrire de la newsletter.
Dans ce cas, que ce soit le lien « Vérifier mon compte » ou « Unsubscribe « , vous tomberez exactement sur le même lien frauduleux.
Voilà du phishing assez grossier.

Deuxième exemple de mail via webmail

Deuxième exemple de mail
Deuxième exemple de mail

Le plus grossier est, par exemple, celui là. Le mail est en anglais car le phishing est « aveugle ».
Plusieurs milliers de mails sont envoyés pour « arroser » les boites mails de tout le monde.
Il y a quelques années, ces mails étant en mauvais français, maintenant il s’est nettement amélioré.
Le bouton du mail « Restore wallet » pointe vers un site complètement délirant.

Troisième exemple de mail via webmail

Pour le troisième cas de mails, on va prendre un site français de la direction générale des finances publiques.
Le phishing consiste à devoir ou à rendre de l’argent.

Troisième exemple de mail
Troisième exemple de mail

En premier lieu, on regarde l’expéditeur : c’est une adresse en @pivotal.io donc cela n’a rien à voir avec le site officiel .gouv.fr
Et si on regarde le lien derrière le bouton « Accédez à votre formulaire » en passant votre curseur dessus, on s’aperçoit qu’il y a encore un lien raccourci vers un site frauduleux.

Quatrième exemple de mail via Thunderbird

On va aller sur des mails via mon logiciel de messagerie Thunderbird.

Quatrième exemple de mail
Quatrième exemple de mail

Ici, le mail est un peu plus travaillé dans le sens où, officiellement, le mail credit_agricole@mabanques.fr peut éventuellement exister.
Forcément, ce sera un mail du crédit agricole donc @credit-agricole.fr
Le mail nous dit qu’il faut réactiver son numéro.
On passe le curseur sur le lien en surbrillance et une adresse en .com s’affiche, c’est surement un site Internet qui s’est fait pirater.
Si on clique sur ce lien, on va tomber soit sur un faux site de la banque, soit dans le panneau.

Cinquième exemple de mail via Thunderbird

Cinquième exemple de mail
Cinquième exemple de mail

J’ai un deuxième exemple de mail un peu mieux fait : déjà l’entête affiche LCL – Banque et assurances et l’adresse mail est en @lcl-pro.fr donc c’est peut-être un domaine qui appartient à LCL.
Comme d’habitude, on va sur le lien « Accéder à mon service » et celui-ci pointe vers arboristas.net donc il n’a rien à voir avec LCL Pro.
Là où c’est plus compliqué à discerner, cette adresse est fausse donc elle ne provient pas de LCL mais aussi il y a une usurpation sur le @lcl-pro.fr
On va dans les détails du mail et afficher la source du mail.

Afficher la source du mail pour avoir plus d'informations
Afficher la source du mail pour avoir plus d’informations

Le mail s’affiche en brut et on voit qu’en fait, le champ Return-Path: affiche un mail de réponse qui n’est pas du tout le bon.
C’est ici que le mail d’escroquerie est bien monté.

Code source du mail pour analyse
Code source du mail pour analyse

Vu qu’un mail reste du code, l’identité de la banque a été usurpée et à chaque fois, on voit qu’il y a cette adresse dans le mail sauf que l’entête affichée sur Thunderbird ne l’affiche pas directement dès réception du mail.
Le mail est envoyé de notification@lcl-pro.fr mais le mail de réponse est frauduleux.
C’est pour cela que, dans certains cas, il devient extrêmement difficile de ne pas tomber dans le panneau.

Solutions pour se protéger du phishing

On a vu quelques exemples de mails : d’un côté, on a vu que c’est facile de les identifier et d’un autre côté, beaucoup moins.
Personnellement, je suis partenaire avec Mailinblack qui est une solution payante et qui filtrera vos mails en amont afin d’éviter le phishing et le spam.

Dans tous les cas, sur les 4 méthodes de phishing qu’on a vu, il faut éventuellement ne pas répondre et ignorer.
Pour certaines personnes, c’est assez compliqué, surtout les personnes d’un certain âge.
Si le téléphone, c’est qu’on les appelle elles et elles vont décrocher.
Il faut juste apprendre à ne pas décrocher son téléphone automatiquement, à ne pas cliquer sur le lien d’un SMS sans raison, même si on attend un colis, on prend 2 secondes pour vérifier.
De toute façon, le colis vous attendra à la Poste ou dans un point relais.

Pour les mails, il faut faire attention : on peut afficher le code source du mail afin de déterminer précisément si le mail est frauduleux ou non.

La meilleure méthode est d’appeler son banquier en direct si c’est la banque.
Concernant les sites du gouvernement, ils ont toutes les informations pour vous rembourser en cas de trop perçu, ne vous inquiétez pas, ils n’ont pas besoin que vous vous manifestiez.

Voir plus d’articles sur la sécurité

Afficher plus

Yves KLINGER

Passionné d'informatique depuis plus de 20 ans, touche à tout, j'essaie d'expliquer l'informatique pour qu'il soit compris par le plus grand nombre et pour que vous puissiez vous dépanner à bas cout.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page