Arnaques par mail : attention !

Arnaques par mail de plus en plus sophistiquées : les parades.

Quelles techniques pour vous soutirer de l’argent, comment les repérer, quelles nouvelles « tendances » ? Aidez-nous à compléter ce guide de l’internaute averti.

Un hameçon (Chang’r/Flickr/CC)

Les systèmes de paiement en ligne sont de plus en plus sécurisés. Bonne nouvelle ? A priori oui, mais les aigrefins aussi perfectionnent leurs techniques, et ils concentrent tous leurs efforts sur le maillon faible : le facteur humain.

La crédulité ou les lacunes techniques des internautes constituent la dernière faille pour les arnaqueurs, qui ne se contentent plus des sites de ventes et autres combines « classiques » : ils cherchent leurs victimes jusque dans leur boîte mail.

1. Les arnaqueurs peaufinent leurs techniques

2. Les astuces pour ne pas se faire avoir

3. Le top des arnaques « tendance »

Le phishing : la technique du mail-hameçon

La psychose du faux mail s’est insinuée partout, même à Rue89 où certains membres de la rédaction se demandent s’ils n’ont pas mis à la corbeille des messages officiels en croyant à une entourloupe. Cela à un nom : le « phishing », le hameçonnage en français.

L’exemple classique de phishing est le mail des impôts, de la CAF ou d’EDF, vous annonçant soit que vous êtes l’heureuse victime d’une erreur de calcul et que vous allez être remboursé de quelques centaines d’euros, soit au contraire que vous devez impérativement régler sous 24h un montant donné, sous peine d’être sanctionné.

Galvanisé ou paniqué, l’internaute mal informé s’empresse de donner les renseignements sollicités – souvent bancaires – ou de cliquer sur le lien donné qui renvoie sur un site factice, ressemblant à celui de l’organisme officiel.

Une fois les identifiants, mots de passe ou coordonnées bancaires entrés sur le site, ils seront utilisés pour virer frauduleusement de l’argent depuis le compte en banque de l’internaute.

Autres exemples connus :

• l’arnaque à la loterie ;

• le spam nigérian ;

• le coup de l’ami en détresse.

Le pharming : la technique du détournement masqué

Le pharming est une variante sophistiquée du phishing. Il n’est pas question ici d’appâter l’internaute insouciant via des propositions alléchantes ou des rappels inquiétants mais de le détourner. Alors qu’il entre pourtant la bonne adresse URL, il est redirigé vers un site frauduleux identique à celui sur lequel il comptait se rendre, où il sera soulagé de ses données confidentielles.

Les pirates peuvent procéder de deux manières :

• soit ils falsifient la correspondance entre l’URL du bon site et l’adresse IP qui lui correspond au niveau du serveur DNS (l’opération de piratage est donc menée contre l’organisme) ;

• soit ils introduisent un logiciel malveillant – un cheval de Troie – dans l’ordinateur de l’internaute (lorsque celui-ci télécharge des fichiers ou se rend sur des sites infectés), qui se chargera de le rediriger vers le site frauduleux à la première occasion.

Une fois les données récupérées, les pirates s’en serviront pour débiter votre compte en banque ou se servir de vos profils sociaux et messageries pour répandre le virus et arnaquer votre entourage.

De quoi psychoter, non ? Heureusement, il existe quelques trucs et astuces pour s’assurer de l’authenticité d’un e-mail ou d’un site avant d’y entrer son code de carte bleue ou son mot de passe.

2. Les astuces pour ne pas se faire avoir:

Diagnostiquer un faux e-mail

Il faut commencer par faire appel au bon sens : si le message est bourré de fautes d’orthographe et de syntaxe, c’est qu’il y a un souci. Les messages certifiés par le gouvernement et autres instituts administratifs sont – en théorie – rédigés sans erreurs.

Voici le genre de message – reçu par un membre de la rédaction – qui devrait vous mettre la puce à l’oreille (une perle) :

« S’il vous plaît soumettre la demande de remboursement d’impôt et nous permettre de 2 jours ouvrables pour le traitement »

Il faut aussi vérifier l’adresse de l’expéditeur de l’e-mail : par exemple, l’adresse utilisée récemment pour les arnaques à la CAF (caf@home.pl) n’a rien de très authentique. On préfèrera les adresses se terminant par gouv.fr ou edf.com. Dans le doute, consultez la liste des domaines utilisés par chaque organisme.

Sachez également qu’il ne faut jamais donner ses coordonnées bancaires ou informations personnelles dans un e-mail. Si une société en question souhaite vous contacter, elle le fera par courrier postal ou par téléphone.

Si malgré ces quelques règles de bon sens, le doute subsiste, vous avez la possibilité de contrôler la provenance du message. Tout d’abord, il faut pouvoir en récupérer l’adresse IP ou le serveur :

Arnaques par mail 2

Un faux e-mail EDF (capture d’écran)

• le serveur est généralement visible dans l’en-tête du mail ;

• à défaut du serveur, récupérez l’adresse IP dans le code source du mail ;

• localisez l’émetteur de l’e-mail à l’aide d’un des deux éléments :

Arnaques par mail 3

Localisation d’un expéditeur de faux e-mail via l’outil Geoiptool (capture d’écran)

D’après Geo IP tool, le mail provient de Biélorussie, un paramètre étrange alors qu’il est censé émaner d’un organisme français. Les tentatives d’hameçonnage les plus répandues proviennent en général d’Afrique et des pays de l’Est.

Attention toutefois à ne pas stigmatiser tous les émetteurs étrangers, il s’agit simplement de bien identifier la nature du mail, et de qui il est censé provenir, pour mettre le doigt sur ce type d’extravagance.

Vérifier la fiabilité d’un site de vente

Il existe plusieurs méthodes pour établir le degré de confiance d’un site de vente en ligne. Là encore, il faut commencer par faire appel au bon sens :

• si les prix affichés sont très attractifs alors que les produits proposés sont théoriquement beaucoup plus chers, c’est rarement un miracle ;

• se référer aux avis des consommateurs : faire un tour sur le web permet de vérifier en quelques secondes l’authenticité d’un site. S’il n’y a aucun avis nulle part : s’inquiéter ;

• la présentation : se méfier des images et textes mal disposés, des fautes d’orthographe, des caractères non reconnus et des plans approximatifs.

Arnaques par mail 4

Exemple type d’une proposition commerciale douteuse.

Sur le plan technique, il faut d’abord vérifier la sécurisation du paiement : les sites de ventes fiables, en général, possèdent la structure suivante « https : // » – « s » étant synonyme de la sécurité d’une transaction entre le client (vous) et le serveur (le site). Les navigateurs Firefox et Google Chrome rajoutent un cadenas comme certificat de validation.

Vérifier les mentions légales : numéro de déclaration à la Commission nationale de l’informatique et des libertés (Cnil), raison sociale, adresse et nom de l’hébergeur sont les conditions minimales requises.

Effectuer un whois (de l’anglais « who is » = « qui est ») en tapant l’adresse du site dans la barre de recherche. Vous déterminerez ainsi qui en est le propriétaire, son adresse, numéro de téléphone et e-mail.

3. Le top des arnaques « tendance »

Nous avons recensé les arnaques du moment les plus répandues sur le Web.

L’arnaque de la « Gendarmerie »

Cette escroquerie vise essentiellement les amateurs de streaming (films et séries en ligne), en les accusant de pratiquer des cyber-activités illégales. Un prétendu message provenant de la gendarmerie ou du ministère de l’Intérieur vous reproche d’avoir téléchargé des films ou un contenu pédopornographique. Vous devez ensuite vous acquitter d’une amende (100 ou 200 euros) si vous souhaitez réutiliser votre machine. Attention, l’adresse IP et le fournisseur d’accès (Free, SFR, etc.) de l’internaute, mentionnés sur le document, renforcent la crédibilité de l’arnaque.

L’arnaque du « remboursement SNCF »

Moins connue, cette pratique se sert de vos données personnelles mais aussi de vos habitudes. Un SMS confirmant l’achat de billets de train à 118 euros a été envoyé sur le téléphone d’un internaute. Pour enfoncer le clou, la fausse confirmation s’appliquait à des trajets qu’il effectuait couramment, l’obligeant à fournir ses coordonnées bancaires pour être remboursé.

La fausse confirmation Paypal

Une dizaine de Dijonnais en ont fait les frais en avril. Les arnaqueurs se rendent sur des sites de petites annonces, et achètent des produits sans même négocier en proposant un paiement Paypal. Le vendeur reçoit un mail de Paypal, confirmant que le versement a bien été effectué, et qu’il envoie donc le produit. Sauf que le mail est un faux.

L’arnaque du conseiller Interpol

La rapacité n’ayant aucune limite, certains arnaqueurs passent derrière d’autres pour en remettre une couche. C’est le cas d’Isabelle Morelle, qui bien sûr, n’existe pas.

Dans un mail, elle raconte son histoire : arnaquée, roulée par un amant qui s’est joué d’elle, elle relate comment un agent d’Interpol (dont elle vous communique l’adresse) a fait rentrer les choses dans l’ordre et lui a rendu son argent. Cette adresse est en réalité celle de l’arnaqueur qui profitera de votre détresse pour vous délester de quelques euros supplémentaires.

Vous avez repéré ou été victime d’une nouvelle arnaque sur Internet ?

Ecrivez à www.20minutes.fr pour enrichir cette liste.

Source : www.rue89.com

rue89

Arnaques par mail