Comment repérer un mail de phishing (ou hameçonnage) ?

10 signes d'alerte à repérer pour vous protéger contre l'hameçonnage.

L'hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Si les tentatives d’hameçonnage sont aujourd’hui de mieux en mieux réalisées, un mail de phishing présente souvent des signes d’alerte qu’il est possible de déceler : pièce jointe étrange, adresse d’expédition incompréhensive, apparence du mail suspecte, cadeaux à gagner, etc.

Voici 10 signes d'alertes pour repérer les mails de phishing :

1) LE MESSAGE COMPORTE UNE URL ÉTRANGE

Une des premières choses est de vérifier l’intégrité et la cohérence de toutes les URL présentes dans le message. Souvent, l’URL dans un message de phishing apparaît valable. Toutefois, si vous passez votre souris au-dessus de l’URL, vous devriez voir l’adresse réelle du lien hypertexte. Si l’adresse du lien hypertexte est différente de l’adresse qui est affichée en clair, alors il y a une forte probabilité que le message soit frauduleux ou malveillant.

2) LE MESSAGE VOUS DEMANDE DES INFORMATIONS PERSONNELLES

Peu importe le destinataire, si le message vous demande des renseignements personnels c’est un mauvais signe. Par exemple, votre banque n’a pas besoin de connaître votre numéro de compte, elle le connaît déjà.

3) L’OFFRE CONTENUE DANS LE MAIL EST EXCEPTIONNELLE

Qui n’a jamais été le grand gagnant d’un iPhone en ne participant à aucun jeu ? Si vous recevez un message vous informant que vous avez gagné un concours, un lot à loterie, etc. sans avoir participé volontairement à quoi que ce soit, le message présente une arnaque.

4) UNE PIÈCE JOINTE SUSPECTE

Assurez-vous que l’expéditeur est légitime et qu’il vous a envoyé ce fichier lui-même. Si vous avez un doute, n’ouvrez pas la pièce jointe.

5) LE MAIL CONTIENT DES FAUTES

Si vous recevez un message rempli de fautes de grammaire, d'orthographe, ou avec des caractères spéciaux, il y a peu de chance qu’il émane du département juridique d’une entreprise. En effet, chaque entreprise envoie un message au nom de sa société et vérifie son orthographe ou sa grammaire avant de communiquer.

6) LE NOM DE L’EXPÉDITEUR EST INHABITUEL

La réception d’un message inattendu d’une adresse email inhabituelle, que vous ne connaissez pas ou qui ne fait pas partie de vos contacts, doit éveiller votre attention, même si celle-ci est d’apparence légitime. Si l’adresse email de l’expéditeur vous paraît suspecte, posez-vous les questions suivantes : connaissez-vous l’expéditeur ? Est-il possible que ce dernier vous adresse un message ? Est-ce que le contenu du message vous est réellement destiné ? Est-ce que le sujet abordé vous parle ?

7) UNE APPARENCE ÉTRANGE

Si les méthodes employées sont donc de plus en plus sophistiquées, certains mails d’hameçonnage revêtent néanmoins une apparence douteuse. Images et logos de mauvaise qualité, flous, déformés, pixelisés ou pris de loin, peuvent être les signes qu’il s’agit de captures d’écran ou d’éléments volés sur des sites officiels.

8) UNE ABSENCE DE PERSONNALISATION

Généralement, les emails officiels qui vous sont adressés mentionnent votre nom; or l’hameçonnage « bon marché » consiste à envoyer à échelle industrielle le même mail de phishing de manière dépersonnalisée à une large base de données d’adresses mail. Si le message ne mentionne pas votre nom ou encore qu’il utilise une formule un peu vague de type « Cher client privilégié », méfiez-vous.

9) ON VOUS DEMANDE D’ENVOYER DE L’ARGENT

On vous demande d’envoyer de l’argent pour payer des frais. Il est possible qu’on ne vous demande rien dans le message initial. Mais tôt ou tard, les escrocs au phishing vont probablement vous demander de l’argent pour couvrir des frais, taxes, redevances, ou quelque chose de semblable. Si cela se produit, vous pouvez être quasiment certain qu’il s’agit d’une arnaque.

10) LE MAIL SEMBLE ÉMANER D’UN SERVICE PUBLIC

Les professionnels de l’hameçonnage peuvent prétendre être un organisme public. Sachez que les organismes publics n’utilisent pratiquement jamais l’email comme moyen de contact initial. Cela ne veut pas dire que les organismes gouvernementaux et ceux chargés de l’application de la loi n’utilisent jamais d’emails. Toutefois, les organismes chargés d’appliquer la loi suivent certains protocoles. Ils ne participent pas à l’extorsion de fonds par email.

Vous souhaitez monter en compétences en cybersécurité ? Découvrez notre article pour se former.