Reconnaître les messages de phishing. Guide pratique

Alors que nos vies se digitalisent de plus en plus, il est essentiel de rester vigilant face aux cybermenaces qui nous entourent. Cyberwal by Digital Wallonia, le programme de la Cybersécurité pour la Wallonie, vous propose une série de conseils pratiques pour reconnaître les messages de phishing !

Le phishing, aussi appelé hameçonnage, est une méthode couramment utilisée par les fraudeurs en ligne, et constitue l'une des plus grandes menaces pour nos informations personnelles et financières. Le phishing se cache derrière des e-mails, des SMS et des sites web frauduleux, visant à tromper les utilisateurs pour leur soutirer des informations confidentielles.

Mais alors comment se protéger de cette pratique ? En comprenant les astuces utilisées par les fraudeurs et en adoptant les bonnes pratiques, vous serez mieux préparé pour identifier et éviter les pièges du phishing. Pour vous aider, découvrez nos conseils pratiques pour reconnaître les messages de phishing !

Lorsqu'il s'agit de détecter un message de phishing, on parle plus souvent de trois techniques possibles. Cependant, il s’avère que certaines ne sont plus suffisantes à elles seules. Il convient alors de les combiner pour détecter les messages frauduleux. Quels sont alors les éléments à vérifier ?

Jusqu'il y a peu, les messages de phishing étaient truffés de fautes, ce qui les rendait facilement reconnaissables. Aujourd’hui, ce n'est plus toujours le cas. Certains messages parfaitement légitimes, y compris des e-mails commerciaux, peuvent eux aussi contenir des erreurs.

Ainsi, bien que la vérification de l'orthographe soit utile, cela doit seulement être un indice et non un critère unique.

Il est logique de vérifier si l'adresse e-mail correspond au nom de la personne ou de l'entreprise qu'elle prétend représenter. Il convient toutefois d’être vigilant car dans certains cas et sous certaines conditions, les fraudeurs sont désormais capables d'envoyer des e-mails en utilisant l'adresse e-mail de la véritable personne.

A nouveau, si la vérification de l'expéditeur reste une très bonne pratique, elle n’est pas infaillible.

En vérifiant le nom du site vers lequel vous êtes renvoyé, vous pouvez déterminer si le message est authentique ou s'il s'agit d'une tentative de phishing. Par exemple, si vous recevez un message prétendant provenir de votre opérateur téléphonique, vous informant que votre facture n'a pas été payée et vous demandant de cliquer sur un lien pour mettre à jour vos coordonnées bancaires, vous devez vérifier si le nom du site contenu dans le message correspond bien à celui de votre opérateur téléphonique.

Si cette 3e technique est la plus fiable pour reconnaître un message frauduleux, elle nécessite au préalable de savoir lire le nom d’un site internet et de savoir comment lire cette adresse sans cliquer sur le lien suspect.

Lire le nom d’un site internet peut paraître simple, mais les fraudeurs savent comment vous tromper. Pour savoir vers quel site vous êtes redirigés, regardez attentivement l'adresse Web (URL) sur laquelle on vous propose de cliquer :

• Cherchez la 1ère barre oblique "seule" dans l'adresse, après le HTTPS. https://www.nomdusite.com/texte/texte/...
• Retournez de 2 points en arrière dans l'adresse. Ce qui se trouve entre le premier de ces deux points et la barre oblique est le véritable nom du site sur lequel vous serez redirigé si vous cliquez sur le lien.
  https://www.nomdusite.com/texte/texte/...

Exemples :

• https://www.digitalwallonia.be/fr/ : digitalwallonia.be est le nom du site web vers lequel vous êtes dirigé.
• https://digitalwallonia.financement.be/fr : vous serez redirigé vers un site appelé "financement.be", et non pas vers digitalwallonia.be.
• https://www.g00gle.com/texte/texte/ ..., vous serez redirigé vers un site qui ressemble à Google, mais où les 2 "o" sont en fait remplacés par des "0". Ce n'est donc pas le véritable site de Google.

Qu’il s’agisse de votre opérateur téléphonique, votre banque ou tout autre interlocuteur, assurez-vous que le nom de domaine corresponde à la réalité.

Pour un SMS, c'est très simple : lisez simplement le nom de domaine contenu dans le message.

En revanche, pour un e-mail, le lien peut être dissimulé derrière un bouton. Il y a une astuce à connaître : passez simplement votre souris sur le bouton sans cliquer. Vous verrez apparaître l'adresse du site. Si vous ouvrez un e-mail sur un téléphone portable, vous pouvez appuyer sur le lien pendant quelques secondes sans le lâcher. L'adresse du site s'affichera directement sur votre écran, sans avoir à l'ouvrir. Ainsi, vous pourrez vérifier l'authenticité du lien.

Deux types de liens peuvent être plus difficiles à décrypter en raison des redirections qu'ils impliquent : les codes QR et les liens courts, tels que ceux commençant par "bit.ly". Si vous recevez un message contenant l'un de ces deux types de liens et que vous doutez de son origine, il est préférable de le supprimer immédiatement, sans cliquer sur le lien. Si vous pensez qu'il pourrait être légitime, procédez avec prudence. Avant de renseigner un mot de passe, de télécharger un fichier ou même de naviguer sur la page, vérifiez toujours l'adresse affichée dans la barre d'adresse de votre navigateur.

Maintenant que vous savez comment faire la différence entre un message légitime et un message frauduleux, n’hésitez pas à en parler autour de vous pour éviter à vos proches de se laisser prendre.

Si malgré ces conseils vous avez été victimes de phishing, vous pouvez signaler l’incident sur la plateforme belge SafeOnWeb mise en place par le Centre pour la Cybersécurité belge pour lutter contre le phishing.

Vous pouvez également transférer directement vos mails de phishing à l’adresse suspect@safeonweb.be .