Mes finances, mes projets, ma vie
27 mai 2022

Gare aux cyberarnaques !

Phishing, vishing, spoofing, smishing… les arnaques se multiplient sur la toile ou via d’autres canaux comme votre téléphone mobile. myLIFE vous explique comment reconnaître ces menaces, et les bons gestes à adopter pour vous protéger face à ces dernières.

Toute personne utilisant internet, que ce soit pour effectuer ses paiements, pour communiquer ou tout simplement pour y rechercher des informations, peut devenir un jour la cible de cyberarnaques. C’est un délit qui consiste à obtenir ou tenter d’obtenir de manière frauduleuse quelque chose qui vous appartient, par exemple de l’argent ou des codes d’accès à vos applications bancaires.

Pour y parvenir, les pirates et hackers misent sur le manque de vigilance et d’expertise des particuliers. Depuis la crise de la Covid, ils sont particulièrement actifs et ingénieux. Personne n’est donc à l’abri. Pour éviter de vous retrouver dans une situation compliquée, mieux vaut prévenir que guérir. Pour cela, passons en revue les principales familles de cyberarnaques ainsi que les réflexes à avoir pour ne pas se faire prendre.

Phishing : la pêche aux données personnelles

La plus connue de ces arnaques est le phishing (hameçonnage). Cette cyberattaque reposant sur votre crédulité et sur vos faiblesses consiste à vous leurrer grâce à de faux emails comprenant des liens vous menant directement à un site frauduleux qui ressemble de très près à celui de votre banque ou d’un site transactionnel. L’objectif ? Récupérer vos données personnelles, vos coordonnées bancaires, ou toute autre information sensible, grâce à un logiciel espion ou en faisant en sorte que vous les communiquiez sans même vous rendre compte que vous n’êtes pas sur le site original où vous pensez être. Une fois ces pièces jointes et sites ouverts, vous voilà piégé.

Voici quelques conseils pour éviter les mauvaises surprises :

    • ne jamais ouvrir de pièce jointe envoyée par un expéditeur inconnu sans une analyse antivirus préalable ;
    • toujours protéger l’accès à ses informations personnelles au moyen d’identifiants, mots de passe ou codes ;
    • ne pas utiliser les mêmes mots de passe pour plusieurs accès sensibles comme vos comptes bancaires, l’accès à myguichet ou autre site ;
    • garder ses logiciels à jour ;
    • vérifier l’URL des liens transmis en les copiant-collant dans le navigateur web. En cas de suspicion, ne jamais cliquer sur un lien ;
    • vérifier la correcte orthographe des url transmises, un site « .lu » peut vite devenir « .eu » ainsi qu’un « luxtrust » peut vite devenir un « luxtruzt » ou autre ;
    • vérifier attentivement les fautes d’orthographe et de grammaire dans le texte de l’e-mail, ainsi que la cohérence des adresses ;
    • ouvrir uniquement des liens sécurisés (mention « https ») et, si vous avez un doute, tapez directement vous-même l’adresse dans votre navigateur, celle que vous connaissez de votre banque ou administration par exemple ;
    • utiliser les outils de sécurité des navigateurs pour vérifier si la connexion est sûre (cadenas dans la barre d’adresse) ;

Le spoofing consiste, pour un hacker, à voler une identité électronique dans le but de commettre des délits sur internet.

Le spoofing : usurpation d’identité électronique

Le spoofing consiste, pour un hacker, à voler une identité électronique (nom de domaine, adresse mail ou adresse IP) dans le but de commettre des délits sur internet. Cette pratique se divise en trois catégories. L’email spoofing consiste à vous envoyer des mails depuis des adresses existantes. Lorsque vous les ouvrez, un virus se répand sur votre ordinateur. L’IP spoofing consiste quant à lui à usurper une adresse IP. Enfin, le smart-spoofing permet d’utiliser une application grâce à cette usurpation d’adresse IP, et peut, dans certains cas, neutraliser vos pare-feu. Cette arnaque permet au cybercriminel de masquer son identité en se cachant derrière une autre. C’est pourquoi il est bien souvent difficile de détecter ce type d’attaque.

Plusieurs indices peuvent vous aider à suspecter cette menace. Pour les détecter :

    • vérifiez attentivement l’adresse mail et assurez-vous qu’elle correspond exactement à celle d’un émetteur connu (les différences reposent dans certains cas sur un seul caractère) ;
    • examinez le design et le contenu du site renseigné (design négligé ou fautes d’orthographe sont des indices d’arnaque). Au moindre doute, tapez manuellement l’URL du site dans votre navigateur plutôt que de cliquer sur un lien ;
    • évitez d’ouvrir les fenêtres pop-up et n’y indiquez jamais vos données personnelles. Veillez plutôt à bloquer ce type de mécanismes ;
    • via un clic-droit sur une adresse email, il est possible de voir la « vraie » adresse email derrière un libellé d’une identité usurpée.

Ne cliquez pas sur le lien présent dans le mail, mais ouvrez plutôt le site de votre banque directement dans votre navigateur. Attention, cela ne concerne pas seulement votre ordinateur ou votre tablette. Il faut faire preuve de la même vigilance lorsque vous naviguez depuis votre Smartphone, voire lorsqu’on vous appelle au téléphone.

Smishing : attention aux SMS frauduleux !

Basée sur le même principe que le phishing, la technique du smishing utilise quant à elle les SMS pour tenter de vous dérober vos données, en vous invitant par exemple à mettre celles-ci à jour. La probabilité que votre banque utilise ce canal est minime, et même inexistante s’il s’agit de solliciter des données personnelles. Ces communications sont réalisées via les espaces de messagerie sécurisée.

Plusieurs réflexes vous permettent de ne pas tomber dans le piège du smishing :

    • ne pas ouvrir un SMS non sollicité et toujours vérifier d’abord l’expéditeur si vous souhaitez malgré tout consulter le message ;
    • ignorer les SMS présentant une mention « Urgent » ou « Répondez vite » ;
    • ne jamais cliquer sur les liens ou annexes présents dans le SMS ;
    • ne jamais répondre à un message vous invitant à communiquer vos codes ou données personnelles.

Le sentiment d’urgence et de contrainte doit vous mettre la puce à l’oreille. Ne vous laissez pas mettre sous pression.

Vishing : toucher la corde sensible

Les mails et SMS ne sont pas les seuls vecteurs utilisés par les hackers. Vous recevez un appel téléphonique d’un numéro inconnu ou suspect ? Un message d’avertissement apparaît sur votre écran d’ordinateur en raison d’un prétendu problème et vous invite à composer un numéro gratuit pour obtenir l’aide d’un technicien ? Prenez garde, il peut s’agir de vishing. Cette arnaque vocale, relais du phishing, vous incite à suivre une démarche présentée comme étant dans votre intérêt et pour votre bien. Évidemment, il n’en est rien !

Certains gestes simples peuvent vous aider face à ces tentatives de fraude.

    • Vérifiez si le numéro est bien le numéro officiel de votre banque. En cas de doute ou de numéro masqué vous pouvez toujours raccrocher et rappeler votre banque en composant vous-même son numéro et en vous assurant que la démarche vient effectivement d’elle.
    • Si votre interlocuteur exige que vous agissiez immédiatement, méfiance ! Le sentiment d’urgence et de contrainte doit vous mettre la puce à l’oreille. Ne vous laissez pas mettre sous pression.
    • Au téléphone, demandez à ces « spécialistes » des informations nécessaires pour vérifier leur identité et, comme déjà suggéré, contactez l’organisation en question pour vérifier que la personne qui vous appelle y travaille effectivement.
    • Gardez la tête froide et notez toutes les informations qui vous sont fournies par votre interlocuteur. En revanche, ne lui communiquez jamais vos informations personnelles (code PIN de votre carte ou vos codes pour les services bancaires en ligne).
    • Vous avez reçu un appel ou message vocal d’un individu vous proposant des services ? Ne composez surtout pas le numéro indiqué !

Quelle que soit l’attaque dont vous êtes la cible, prenez toujours le temps, en cas de doute, de contacter votre banque via les moyens de contact officiels. Celle-ci vous conseillera et vous aidera au mieux de ses moyens, y compris si le mal est déjà fait.

Exploitant nos failles et notre confiance, les cyberarnaques sont de plus en plus nombreuses et sophistiquées. Les hackers, toujours plus créatifs, multiplient les techniques pour se procurer nos données personnelles et bancaires. Grâce à quelques bons réflexes et du sang-froid, il est tout à fait possible d’éviter ces pièges et de protéger ces informations sensibles. De manière générale, il ne vous sera jamais demandé de donner vos identifiants et mots de passe par téléphone ou tout autre canal de communication en dehors du site web ou de l’application officielle de votre banque ou de votre administration. En cas de doute, stoppez tout et appelez votre banque ou administration.