Connaissez-vous les techniques d’hameçonnage? Obtenez des conseils pour vous protéger, vous et vos données, contre les arnaques par hameçonnage et faites le test de Google sur l’hameçonnage (en anglais).

website with http and fish hooks represening data theft due to phishing attack

Les arnaques par hameçonnage ne datent pas d’hier, mais leur nombre augmente de façon significative année après année. Selon un sondage mené par Interac Corp., les Canadiens sont plus susceptibles de s’inquiéter des arnaques de fraude sur les paiements comme l’hameçonnage et le copiage de carte, que des cambriolages à domicile, des vols de véhicules et des écrasements d’avions. Ce sondage a également révélé que près de 25 % des Canadiens disent avoir déjà cliqué sur un lien qui s’est avéré être une arnaque par hameçonnage, tandis que 64 % ont déclaré avoir été tentés de cliquer sur un lien qui ne leur semblait pas entièrement sécuritaire.

Le défi est que les pirates informatiques sont de plus en plus habiles à tromper les gens, car ils utilisent des logos et des marques d’entreprises d’apparence légitime et exploitent les peurs de leurs victimes potentielles en incluant des expressions comme « votre compte a été compromis » ou « votre compte sera fermé ». Heureusement, vous pouvez vous protéger en restant à l’affût des plus récentes tactiques d’hameçonnage et en suivant ces conseils utiles :

1) Familiarisez-vous avec la terminologie
Pour vous protéger contre les arnaques, vous devez d’abord connaître la terminologie utilisée et les types d’hameçonnage qui existent :

  • « Hameçonnage » est le terme générique qui désigne tous les types de tentatives frauduleuses en vue d’obtenir des renseignements sensibles par des communications électroniques, notamment les courriels, les sites Web et les médias sociaux.
  • Les rançongiciels sont un type de logiciel ou de logiciel malveillant qui, une fois installé sur un ordinateur ou une tablette, empêche l’utilisateur d’accéder à son système ou à ses fichiers personnels et exige le paiement d’une rançon pour que cet utilisateur puisse en recouvrer l’accès.
  • L’hameçonnage par texto est une forme d’hameçonnage qui a lieu quand une personne tente de vous soutirer vos renseignements confidentiels en vous envoyant un message texte ou SMS.
  • L’hameçonnage vocal est l’équivalent téléphonique de l’hameçonnage. L’appelant prétendra représenter une entité de confiance comme votre banque, votre fournisseur de téléphonie ou même le gouvernement et tentera de vous faire révéler vos renseignements personnels comme votre numéro d’assurance sociale, votre numéro de compte bancaire ainsi que vos noms d’utilisateur et mots de passe.

2)  Surveillez les indicateurs d’hameçonnage
Même s’il existe des arnaques d’hameçonnage si bien conçues qu’elles peuvent tromper même un expert de l’informatique, la majorité d’entre elles présentent des irrégularités subtiles et moins subtiles que vous pouvez déceler, par exemple : 

  • Les mots mal épelés ou les erreurs de grammaire
    Les banques, gouvernements et autres grandes entreprises emploient des rédacteurs et des concepteurs professionnels pour s’assurer justement que le contenu de tous leurs courriels et de leur site Web est grammaticalement correct et exempt d’erreurs typographiques. Par conséquent, si vous recevez un courriel mal écrit, il est préférable de le supprimer et de communiquer par téléphone directement avec l’entreprise qui vous l’a envoyé.
  • Les titres génériques ou les noms de nature douteuse
    Toute entreprise possédant une base de données dans laquelle vous figurez adressera ses courriels directement à vous et non à un destinataire générique ou imprécis. Si la formule d’appel est « Cher monsieur ou chère madame », « Cher titulaire de compte » ou même « À qui de droit », vous pouvez être certain que ce courriel ne provient pas d’une véritable entreprise. Portez aussi une attention particulière aux données suspectes qui figurent dans le courriel, comme l’utilisation d’une partie de votre adresse courriel ou si votre nom est écrit d’une façon différente de celle qui apparaît sur votre compte – les fraudeurs peuvent obtenir votre nom ou d’autres renseignements dans vos comptes de réseaux sociaux. 
  • Les pièces jointes de toutes sortes
    Les banques, PayPal et le gouvernement s’abstiennent d’inclure une pièce jointe dans leur correspondance officielle. Si vous recevez un courriel d’une entreprise avec laquelle vous faites affaire et qu’il renferme une pièce jointe que vous n’attendiez pas, il est fort probable qu’il s’agisse d’une arnaque – n’ouvrez pas la pièce jointe et ne cliquez surtout pas sur les liens dans le courriel. Les signatures numériques constituent la seule exception à cette règle, car elles apparaissent parfois sous forme de pièce jointe. 
  • Les adresses courriel étranges
    Même s’il est relativement facile pour un fraudeur de faire en sorte qu’un courriel semble provenir d’une banque spécifique ou de PayPal, il n’est pas facile de dissimuler l’adresse de provenance de ce courriel. Si votre banque ou le gouvernement souhaite vous envoyer un courriel, ce dernier proviendra d’un compte de courriel d’entreprise et le nom de cette entreprise figurera dans l’adresse courriel. Pour contourner ceci, les criminels établiront un compte de courriel public semblable tel que paypal@gmail.com.

 

3)  Utilisez un gestionnaire de mots de passe
Même s’il est facile de leurrer un être humain par de fausses pages de connexion, les gestionnaires de mots de passe, en revanche, ne sont pas déjoués de cette façon. Les gestionnaires de mots de passe sont des applications qui retiennent tous vos mots de passe, ce qui vous permet de les rendre plus complexes et plus difficiles à deviner pour les pirates informatiques. Si le gestionnaire de mots de passe refuse d’inscrire automatiquement un mot de passe, cela constitue habituellement un bon indice qu’il est préférable de vérifier l’adresse URL pour vous assurer que vous vous trouvez sur le bon site Web. Une autre bonne pratique est d’utiliser le mot de passe aléatoire fourni par le gestionnaire de mots de passe. Ainsi, vous serez obligé de vous fier au remplissage automatique et serez moins susceptible de taper votre mot de passe dans une fausse page de connexion.

4)  Assurez-vous que le site Web est légitime et sécuritaire avant de partager vos données
La plupart des entreprises ne vous demanderont pas de prendre des mesures immédiates par courriel, alors méfiez-vous de tout courriel qui présente un caractère urgent. Si vous recevez un courriel de votre banque, du gouvernement ou d’une autre entreprise qui vous demande d’ouvrir une session dans votre compte pour une raison ou une autre, n’utilisez pas les liens fournis dans ce courriel pour accéder au site. Rendez-vous plutôt dans votre navigateur et entrez l’adresse réelle du site Web dans la barre d’adresse. De plus, n’oubliez pas de repérer l’icône de cadenas dans la barre d’adresse à côté de « https ». Si l’icône de cadenas est verte, cela signifie que l’adresse Web (URL) affichée dans la barre d’adresse correspond à l’URL qui est intégrée au certificat de sécurité et que le certificat de sécurité provient bien d’un émetteur de certificat accrédité.

5) Testez vos connaissances sur l’hameçonnage
Une entreprise du nom de Jigsaw s’est associée à Google pour élaborer un jeu-questionnaire visant à enseigner aux gens comment mieux repérer les courriels d’hameçonnage. Étonnamment, ce jeu-questionnaire peut sembler être une tactique d’hameçonnage puisque l’adresse du site est https://phishingquiz.withgoogle.com/ (en anglais). Mais ne vous inquiétez pas, il s’agit d’un site Web authentique qui peut tester votre capacité à reconnaître des courriels d’hameçonnage.