D’abord, sachez que n’importe qui peut se faire prendre par une tentative de fraude et d’hameçonnage par courriel, vous n’êtes donc pas stupide si cela vous arrive. Certains de ces courriels paraissent réellement crédibles. Par contre, il y a d’autres messages où tous les indices sont là pour nous faire douter de leur légitimité. Voici un exemple type de courriel frauduleux qui pourrait vous faire paraître (juste un peu) stupide si ces criminels réussissaient à vous pirater.
Le cas que je vous présente ici est arrivé ces derniers jours. Ma collègue de travail m’a transféré un courriel parce qu’elle se doutait qu’il s’agissait d’une tentative d’hameçonnage (phishing). Elle a eu le bon réflexe de ne pas cliquer sur le lien affiché dans le message et de supprimer ce dernier après me l’avoir transféré. Je vous le montre ici et vous explique pourquoi vous pourriez paraître un peu stupide de vous être fait(e) avoir par cette arnaque.
Si l’on prend le courriel en lui-même, voici les indices qui doivent vous faire douter de sa légitimité (même si, comme très souvent, le courriel provient d’un contact réel qui vous envoie souvent des courriels).
D’abord, il a été envoyé à l’adresse « [email protected] ». Or, il ne s’agit pas de l’adresse de ma collègue. Pire encore, il ne s’agit même pas du domaine (dans l’exemple c’est « info.com ») utilisé pour les courriels dans notre entreprise et la première partie de l’adresse n’existe pas chez nous. C’est encore plus facile de soupçonner une arnaque s’il s’agit de votre boîte de courriel personnelle.
Ensuite, le message en anglais (je sais, vous n’êtes peut-être pas bilingue, ça peut compliquer les choses !) indique que le contact a partagé un fichier Dropbox avec vous. Or, si c’était le cas, l’adresse de l’expéditeur du courriel aurait été celle du service Dropbox et non celle de votre contact.
Enfin, vous ne trouvez pas que le courriel est vraiment laid ? Voici à quoi ressemble un vrai courriel envoyé par Dropbox suite au partage d’un fichier par votre contact :
Bon, je dois avouer que les designers de Dropbox ne se sont pas vraiment forcés sur la personnalisation de leurs courriels. Il n’est pas vraiment plus beau, mais il a au moins le logo de Dropbox et l’adresse de l’expéditeur provient bien du domaine « dropbox.com ».
Attention à la confusion générée par le lien : un autre indice laisse penser que ce courriel est frauduleux, soit le lien cliquable. En survolant celui-ci avec le pointeur de la souris (sur ordinateur évidemment), on constate une adresse plutôt étrange. Cette adresse pourrait malheureusement semer la confusion dans votre esprit : elle commence par « https ». Or, je vous ai déjà mentionné à quelques reprises sur mon blogue et les réseaux sociaux que les adresses précédées d’un « https » correspondent généralement à des sites Web sécurisés (vous pouvez lire cet article qui traite de ce sujet). Dans le monde du piratage, il y a donc des exceptions à cette règle !
On va plus loin… voyons ce qui se passe si on clique sur le lien !
Déjà, si après tous ces indices, vous cliquez sur le lien dans ce courriel douteux, il n’est pas impossible que vous soyez victime de petites moqueries de la part d’un membre de votre famille ou d’un(e) collègue plus expérimenté(e) dans l’utilisation d’un ordinateur ou d’un téléphone intelligent.
Parce que je tiens à votre réputation, voici un autre indice qui prouve hors de tout doute que le courriel reçu était bel et bien une arnaque. J’ai cliqué sur le lien dans le courriel de ma collègue, voici ce que m’a affiché mon navigateur Firefox suite à l’ouverture de la page (cliquez sur l’image pour agrandir) :
Et boom ! Est-ce que la couleur rouge vif et le message sont suffisants pour vous convaincre de fermer la page et de retourner dans votre boîte de courriel pour supprimer le message frauduleux ? Si on utilise Google Chrome, l’avertissement est encore plus convainquant :
En plus de la couleur (plus terne que sur Firefox) et le message plutôt explicite, Google a même marqué d’un trait le « https » en inscrivant la mention « Dangereux » juste à côté. Vous avez toujours un doute ?
J’ai passé outre l’avertissement des deux navigateurs pour voir ce qui se passerait. Tiens donc, je me retrouve sur le service Office 365 de Microsoft qui me demande mes identifiants. Vraiment ?
Le navigateur continue à indiquer que le site actuellement visité est trompeur (barre rouge en haut de l’image). Si rendu là vous entrez vos informations et voyez votre compte Microsoft se faire pirater, je dois vous dire sans méchanceté que vous avez un peu couru après votre malheur… surtout si vous utilisez le navigateur Google Chrome ou Firefox !
En effet, Microsoft Edge (Windows 10) et Internet Explorer n’ont jamais averti du danger en visitant le site trompeur. Si cela ne me surprend pas du deuxième, je me serais attendu à plus du premier qui est supposé être plus sécuritaire.
Soyez donc toujours vigilant(e) avant de cliquer sur un lien dans un courriel. Faites les petites vérifications d’usage comme je vous les ai montrées dans cet article. Avec le temps, vous développerez certains réflexes qui vous permettront d’identifier plus facilement les courriels frauduleux. Enfin, utilisez également un navigateur récent et mis à jour qui est capable de vous avertir en cas de possible piège (Chrome et Firefox notamment).
Avez-vous déjà vécu une mauvaise expérience suite à la réception d’un courriel frauduleux ? Commentez, on ne vous jugera pas !