Mes finances, mes projets, ma vie
19 mars 2024

Savoir reconnaître une tentative de Phishing

Le phishing ou hameçonnage, vous connaissez? Peut-être pensez-vous être suffisamment vigilant pour ne pas vous laisser avoir par ces tentatives frauduleuses qui visent à vous extorquer des informations sensibles ou de l’argent. Attention à l’excès de confiance, le phishing n’arrive malheureusement pas qu’aux autres! Et pour cause, il s’appuie sur des biais psychologiques puissants que nous subissons tous.

Synthèse

    • Le phishing décrit une forme d’escroquerie en ligne qui vise à voler les informations personnelles des utilisateurs pour en faire un usage malveillant.
    • Le phishing peut prendre des formes variées: email, sms, messagerie en ligne, plateforme de travail collaboratif, plateforme de vidéoconférence.
    • Le phishing tente d’exploiter nos émotions afin de court-circuiter notre jugement et de nous pousser à agir sans y réfléchir. Les auteurs de phishing ont tendance à exploiter six émotions fondamentales: la colère, la curiosité, la récompense, la confusion, la peur et l’avidité.
    • Le phishing joue sur notre fibre sociale et notre curiosité pour tromper notre vigilance.
    • Quel que soit la situation, ne divulguez jamais des informations personnelles par message, évitez de cliquer sur des liens hypertextes suspects et vérifiez toujours l’adresse complète de l’expéditeur.

Si nous sommes mieux sensibilisés au phishing qu’il y a quelques années, force est de reconnaître que les escrocs en ligne font également preuve de créativité et d’adaptation pour nous faire mordre à l’hameçon. Finis les messages à la grammaire très approximative et les contrefaçons vulgaires, les fraudeurs soignent la présentation et ont appris à mieux jouer avec vos émotions pour neutraliser votre jugement critique. Il est donc temps de renforcer votre « firewall » émotionnel en vous aidant à comprendre par quels mécanisme le phishing entend vous piéger!

Phishing et surcharge cognitive liée au digital

Par rapport aux générations précédentes, notre vie digitale est devenue intense. Nous recevons et échangeons chaque jour des dizaines de messages par messagerie électronique, SMS ou via diverses plateformes et applications. Alors que la grande majorité des messages et publicités sont authentiques, il se trouve régulièrement des messages frauduleux et potentiellement dangereux. Si nous parvenons à les déceler en temps normal, une émotion forte, la curiosité ou une surcharge cognitive importante peuvent faire baisser notre vigilance et nous faire tomber dans le panneau. C’est précisément le but recherché par le phishing.

Le phishing ou hameçonnage décrit une forme d’escroquerie en ligne qui vise à voler les informations personnelles des utilisateurs. Le « phishing » existe sous différentes formes: mails, SMS (smishing) ou via des services de messagerie en ligne. L’auteur de l’escroquerie tente alors de se faire passer pour un organisme de confiance : banque, opérateur téléphonique, service postal, etc. Vous êtes le plus souvent invité à cliquer sur un lien qui vous redirige vers un site frauduleux (semblable à l’original), sur lequel vous allez entrer vos données.

Concrètement, une victime peut recevoir un email l’informant que ses cartes de crédit vont être bloquées ou que son compte Facebook ou email va être désactivé. Pour empêcher la prétendue désactivation, la victime est alors invitée à cliquer sur un lien fourni dans l’email qui la redirige sur une page web (falsifiée). Là, elle est invitée à fournir ses données personnelles afin de prouver qu’elle est bien le titulaire de la carte ou du compte client en question. Une fois les données communiquées, elles pourront être utilisées à des fins malveillantes.

Dernièrement, le phishing prend des formes de plus en plus sophistiquées pour tenter de tromper les victimes même les plus averties. Il est aussi possible d’être induit en erreur par des messages frauduleux qui miment des sites de vidéoconférences ou des plateformes de travail collaboratif en ligne.

Les plus connectés ne sont pas les plus immunisés. Ils sont au contraire les plus susceptibles d’être victimes du phishing.

Être victime de phishing n’est pas un phénomène rare puisque, selon le rapport 2022 Data Breach Investigations de la société Verizon, près de 82% des fuites de données sont dues à un incident incluant un facteur humain. Parmi ces erreurs humaines, le fait d’être victime de phishing et de diffuser volontairement des données figure dans le top 5! Contrairement aux idées reçues, les plus connectés ne sont pas les plus immunisés. En effet, il est démontré que ce sont ceux qui sont les plus actifs dans le monde digital qui sont les plus susceptibles d’être victimes du phishing.

Il est donc important de comprendre comment fonctionne le phishing afin d’analyser pourquoi, malgré les mises en garde régulière et les campagnes d’information sur ce type de fraude digitale, les auteurs de ces escroqueries continuent de faire mouche avec autant d’efficacité. La réponse est à chercher du côté des biais psychologiques et émotionnels exploités par les auteurs du phishing.

Les mécanismes du phishing

Le phishing se fond dans la masse

Nous recevons tous des messages électroniques en quantité. La communication digitale étant notre « norme », il est assez facile de dissimuler les demandes malveillantes parmi les demandes authentiques. Ainsi, l’une des caractéristiques d’un message de phishing est qu’il a l’air légitime. Il ressemble à s’y méprendre à un de ces nombreux emails provenant d’institutions ou d’entreprises de bonne foi. Le message porte souvent sur des sujets qui vous concernent vous directement, votre travail ou vos centres intérêts.

Nous sommes tellement habitués à faire défiler les messages et à ouvrir ceux qui nous intéressent, que notre vigilance se relâche parfois trop rapidement. Hélas, certains de ces messages intéressants au premier regard sont en réalité malveillants. Ils peuvent contenir des liens ou des pièces jointes qui nous incitent à visiter de faux sites Web, à communiquer des informations, à envoyer de l’argent ou à télécharger un type de logiciel malveillant.

Le phishing s’appuie sur la puissance des normes sociales

Les courriers de phishing utilisent presque toujours des déguisements sociaux par lesquels les escrocs se font passer pour des organisations ou des contacts légitimes en qui nous avons confiance. Il s’agira par exemple d’une URL presque identique d’un site très connu comme www.luxtrast.lu au lieu de www.luxtrust.lu. En utilisant les codes visuels d’un expéditeur légitime ou en achetant des domaines qui ressemblent à des domaines réels, les fraudeurs exploitent notre tendance à accorder trop de crédit à l’apparence des choses.

Les auteurs de phishing connaissent également notre tendance à « obéir » à une figure d’autorité que nous reconnaissons comme légitime. Les messages sont ainsi couramment signés par des personnes de haut rang comme un « directeur de banque », un « chef des ressources humaines », un « commandant en chef » ou même de votre PDG en personne.

Les auteurs de phishing savent que nous sommes des « animaux sociaux » enclins à agir comme nous pensons que les autres agissent.

Finalement les auteurs de phishing savent que nous sommes des « animaux sociaux » et que nous sommes plus enclins à coopérer lorsque nous croyons que la majorité de nos pairs ont déjà agi de la sorte. Les messages de phishing utilisant les normes sociales prétendent souvent que d’autres membres d’un groupe se sont déjà conformés, par exemple: « 90% des employés de votre entreprise se sont déjà inscrits ». Ces techniques peuvent être très efficaces car elles jouent sur notre attachement aux normes sociales comme indicateur de la bonne attitude à adopter face à une situation nouvelle.

Le phishing éveille notre curiosité

La curiosité est un puissant moteur de l’action humaine. Elle nous pousse à innover, à aller plus loin, à chercher à en savoir davantage. Elle capte notre attention, quitte à créer un effet de tunnel qui nous rend aveugle à ce qui n’est pas l’objet de cette curiosité. Elle peut ainsi nous inciter à ouvrir sans réfléchir une pièce jointe pour profiter de la promesse d’une opportunité inédite. Lorsqu’on leur demande pourquoi elles ont ouvert ces mails, la plupart des victimes de phishing avouent avoir cliqué par curiosité tout en se doutant que c’était une arnaque. La curiosité est un incitatif puissant qu’il faut savoir garder sous contrôle!

Le phishing exploite nos mécanismes primaires d’urgence

De nombreux courriers de phishing jouent la carte de l’urgence. Méfiez-vous des messages vous vantant une « offre à durée limitée » ou une « remise unique » ou une « convocation de justice », un « blocage imminent ».

L’urgence a un impact sur le stress et active notre cerveau primaire qui se met en mode « alerte ». Ce mode a tendance à neutraliser tous les autres mécanismes de réflexion pour traiter au plus vite et sans le moindre recul ce qui nous semble être une urgence immédiate. Agir sans réfléchir est exactement la réaction espérée par les criminels à l’origine de la tentative de fraude. Ne vous laissez pas avoir!

Le phishing joue sur nos sentiments

Le rôle de l’affect dans la prise de décision est bien connu. En lecteur fidèle de myLIFE, vous savez certainement que les émotions sont souvent mauvaises conseillères. Des niveaux élevés d’émotion peuvent altérer nos capacités de jugement et peuvent nous amener à nous comporter de manière impulsive.

Les auteurs de phishing ont tendance à exploiter six émotions fondamentales : la colère, la curiosité, la récompense, la confusion, la peur et l’avidité.

Les auteurs de phishing ont tendance à exploiter six émotions fondamentales : la colère, la curiosité, la récompense, la confusion, la peur et l’avidité.

Les fraudeurs peuvent, par exemple, utiliser la promesse d’une récompense monétaire ou d’un prix attrayant pour provoquer une réponse émotionnelle telle que l’excitation auprès de leur victime. Ils peuvent également utiliser des signaux d’urgence pour générer un sentiment de peur et de menace immédiate.

Les messages de phishing sont souvent présentés comme nécessitant une action urgente, par exemple: « Votre compte sera supprimé si vous ne vérifiez pas immédiatement vos données » ou « Quelqu’un a obtenu votre mot de passe ». Ces « états d’excitation » ou de peur augmentent le risque de comportements irrationnels et impulsifs pouvant conduire à divulguer des informations personnelles.

Ce qu’il faut retenir c’est que les auteurs de phishing ont trouvé le moyen de contourner certains pares-feux technologiques en exploitant vos biais psychologiques pour percer votre pare-feu cognitif. Il ne suffit pas d’avoir la bonne technologie et d’être sensibilisé aux mécanismes du phishing, il faut aussi apprendre à garder la tête froide pour pouvoir étudier avec recul tous ces message reçus au quotidien.

Les bonnes pratiques pour se protéger du phishing

    • Ne cliquez jamais sur des hyperliens reçus par sms ou par email de sources suspectes. Ne téléchargez pas non plus les annexes proposées.
    • Méfiez-vous de messages qui vous poussent à réagir vite, respectivement qui vous demandent de fournir des données personnelles.
    • Ne partagez jamais des informations et données personnelles qui vous sont demandées via mail, SMS ou d’autres services de messagerie. Sachez que des organisations et entreprises sérieuses ne vous demandent jamais d’envoyer des données personnelles via mail.
    • N’enregistrez jamais vos données cartes sur des sites commerciaux: vos données pourraient être détournées par la suite à des fins frauduleuses.
    • Ne permettez jamais l’installation de logiciels à distance sur votre ordinateur ou téléphone mobile lorsque vous êtes sollicités par un inconnu (exemple: fraude au faux support informatique).
    • Contrôlez toujours si le message s’adresse personnellement à vous, respectivement s’il contient des fautes ou des traductions erronées.
    • Faites attention aux changements d’adresse: à première vue, le lien donné semble authentique, mais en y regardant une deuxième fois, on constate que l’URL contient des parties inhabituelles ou erronée qui laissent penser qu’il s’agit d’une fausse adresse (p. ex.: www.luxtrast.lu au lieu de www.luxtrust.lu).
    • Passez le curseur de la souris sur le lien avant de cliquer. Si l’URL du lien ne correspond pas à sa description, vous risquez d’être redirigé vers une page de phishing.
    • Vérifiez si l’adresse email correspond bien au nom de l’expéditeur. Vérifiez également si l’email est authentifié et si le vrai nom apparaît dans l’en-tête.

Plus d’informations sur les bonnes pratiques à adopter face au phishing sont disponibles sur myLIFE, sur le site de votre banque et sur le site de BEE SECURE, l’initiative gouvernementale de sensibilisation à la cyber sécurité.