Comment détecter un faux site Web et éviter l’hameçonnage S’il y a une chose à laquelle les cybercriminels excellent, c’est instaurer un faux climat de confiance en exploitant notre connaissance des événements actuels ou en suscitant une émotion, telle que la compassion. Nous appelons cela l’«ingénierie sociale»; il s’agit d’un aspect clé de l’une des escroqueries en ligne les plus courantes : les courriels d’hameçonnage qui mènent vers de faux sites Web. Qu’est-ce que l’hameçonnage? L’hameçonnage est une forme de fraude par Internet. L’arnaqueur prétend être une personne de confiance ou représenter une organisation légale, vous envoie un courriel en tentant de vous convaincre de divulguer des renseignements personnels ou financiers, tels que des numéros de carte de crédit, des numéros d’assurance sociale ou des mots de passe. L’hameçonnage est la forme d’attaque la plus courante sur le Web et les cybercriminels modifient constamment leurs méthodes afin d’inclure des détails qui pourront faire croire au destinataire que la demande est légitime. Dans le cadre d’une tentative d’hameçonnage, le cybercriminel peut vous envoyer un message supposément de votre banque, vous demandant de confirmer vos renseignements bancaires en cliquant sur un lien. Une fois que vous cliquez sur le lien, un programme troyen (un programme malveillant qui semble bénin) est lancé et installe un enregistreur automatique de frappe sur votre machine. Cet enregistreur automatique saisit ensuite tout ce que vous tapez, y compris les mots de passe. Ce lien peut aussi vous mener à un faux site Web de banque où il vous sera demandé d’entrer vos renseignements personnels. Pour l’utilisateur non expérimenté, le faux site est identique à la vraie page d’accueil du site de la banque, car l’arnaqueur a copié des fichiers à partir du vrai site. Toutefois, lorsque vous tentez d’ouvrir une session dans votre compte, des renseignements qui ne sont pas exigés d’habitude vous sont demandés sur se site. Sur un faux site, on peut vous demander de fournir non seulement votre nom et adresse, mais également votre numéro de compte, votre mot de passe, les huit derniers chiffres de votre numéro de carte de débit et votre NIP de guichet automatique bancaire. Une autre méthode courante d’hameçonnage que les pirates utilisent est la création de faux sites à des adresses qui sont souvent mal tapées, et ce, dans l’espoir de berner des internautes insoucieux. Taper incorrectement une adresse de page Web peut vous mener à de faux sites, soit quelque chose qui peut probablement se produire pour des personnes qui naviguent régulièrement sur Internet. La création de faux sites s’appelle le typosquattage; et comme la plupart des combines informatiques, le but est d’obtenir des renseignements et de dérober de l’argent. Reconnaître l’hameçonnage et les faux sites Web La bonne nouvelle est que vous pouvez éviter les escroqueries en faisant attention aux signes révélateurs indiquant qu’un site est faux ou qu’un courriel est en fait un pourriel. La prochaine fois que vous ne serez pas tout à fait sûr si vous êtes sur un site Web légitime ou si le courriel que vous avez reçu est valide, vérifiez les signes suivants : 1) Utilisation d’une mauvaise adresse URL – Si vous avez l’habitude d’accéder au site de

votre banque par l’intermédiaire d’une adresse en particulier et que l’adresse du site auquel vous accédez n’est pas la même, vous pouvez être certain que vous n’avez pas accès à un vrai site. Assurez-vous de toujours vérifier que l’adresse du site auquel vous accédez est exacte.

Vous pouvez également faire passer le curseur de votre souris sur le lien indiqué dans le courriel pour vérifier que le lien mène bien au même site d’où le courriel provient.

2) Demande de renseignements bancaires – Une vraie banque ne vous demandera jamais de fournir, par courriel, des renseignements sur votre compte bancaire ou des numéros de carte de débit, ou bien, des NIP. Méfiez-vous de tout courriel ou site demandant des renseignements confidentiels (tels que votre numéro d’assurance sociale) autres que votre information de connexion standard.

3) Utilisation d’un compte Internet public – Avant de cliquer sur un lien que vous recevez

par courriel, jetez un coup d’œil à l’adresse électronique de l’expéditeur. Si l’adresse électronique est associée à un compte public, mais que l’expéditeur prétend qu’il s’agit d’un message de votre banque ou de toute autre entreprise, méfiez-vous de ce type de courriel. De plus, méfiez-vous de tout courriel ou site Web où il est vous est demandé de confirmer des renseignements confidentiels relatifs à votre compte; il s’agit sûrement d’une tentative d’escroquerie. Par ailleurs, un message provenant de votre banque doit en principe contenir votre nom, par exemple, «Monsieur Smith» au lieu de «Cher client» devrait figurer au début du courriel. Les représentants des banques vous enverront toujours des messages en mentionnant votre nom, et ce, de façon à confirmer votre relation avec la banque en question.

4) Fautes d’orthographe – Si vous recevez un message d’une banque vous demandant d’ouvrir une session dans votre «comptte», il s’agit là d’un indice; vous venez donc d’ouvrir un pourriel ou d’accéder à un faux site. Dans les vraies entreprises, un personnel désigné s’assure de vérifier l’exactitude des courriels et des sites Web; par conséquent, une erreur telle que celle indiquée ci-dessus serait corrigée avant l’envoi du message ou la publication de l’article sur le site. Si vous constatez une faute d’orthographe ou une mauvaise utilisation du nom d’une entreprise, essayez de trouver d’autres erreurs ou indices pouvant confirmer vos soupçons, et n’entrez pas vos renseignements personnels dans le site.

5) Site non sécurisé – Les sites de commerce électronique légitimes utilisent le cryptage ou la technique d’embrouillage pour assurer la protection de vos renseignements. Vous pouvez déterminer si un site utilise le cryptage en recherchant un symbole de serrure dans la fenêtre du navigateur. Si vous cliquez sur le symbole de serrure, vous pourrez vérifier si un certificat de sécurité a été émis pour ce site; il s’agit d’un signe que le site Web est sécurisé et légitime. Vous devez également vérifier que l’adresse du site commence bien par «https://» au lieu de «http://». N’entrez pas des renseignements sur le paiement dans un site qui n’est pas sécurisé.

6) Affichage d’images à basse résolution – De façon générale, les pirates créent de faux sites rapidement, et cela se voit d’après la qualité des sites créés. Si le logo ou le texte est affiché à un niveau de résolution faible, il est fort probable que le site est faux.

Protégez-vous Même si ces conseils peuvent vous aider à identifier les tentatives d’hameçonnage et les faux sites, n’oubliez pas que les pirates recherchent toujours des façons d’améliorer leurs méthodes et de vous envoyer des messages plus convaincants. Cela aide d’être au courant des raccourcis mentaux que vous utilisez et de prendre le temps de vous demander si le site semble légitime. Voici quelques conseils qui vous aideront à éviter de tomber dans les pièges des cybercriminels :

1) Informez-vous : renseignez-vous sur les derniers types d’escroquerie afin que vous sachiez à quoi vous devez faire attention. De plus, sachez à quoi ressemble un pourriel afin de pouvoir reconnaître les combines courantes.

2) Faites preuve de bon sens : lisez attentivement vos courriels, vérifiez que vous connaissez bien l’expéditeur et méfiez-vous de tout courriel vous demandant de fournir des renseignements personnels ou bancaires. Par ailleurs, faites très attention lorsque vous téléchargez des pièces jointes à un courriel, à moins que vous connaissiez l’expéditeur et que vous lui fassiez confiance.

3) Naviguez intelligemment sur Internet : lorsque vous naviguez sur Internet, assurez-vous que le site Web que vous consultez est sécurisé avant d’entrer des renseignements. Si vous avez des doutes, entrez un faux mot de passe, étant donné que les faux sites acceptent des renseignements erronés. Afin de mieux vous protéger, vous pouvez naviguer sur le Web en utilisant un moteur de recherche, car ce dernier peut détecter les coquilles et vous éviter d’accéder à de faux sites Web. De plus, utilisez un outil de recherche tel que McAfee® SiteAdvisor®, lequel indique si un site est sûr ou pas dans la liste des résultats de recherche.

4) Utilisez la technologie pour vous protéger : des logiciels de protection complets avec des

technologies anti-hameçonnage, tels que le logiciel McAfee SecurityCenter, lequel est préinstallé sur les PC DellMC, peuvent vous aider à vous protéger. Assurez-vous simplement que votre logiciel est à jour et qu’il contient les derniers niveaux de protection en autorisant les mises à jour automatiques ou en cliquant sur le bouton «update» du panneau de commande de votre logiciel de protection.

5) Soyez prudent en tout temps : vous devez également faire attention lorsque vous êtes hors ligne, par exemple, lorsque vous vérifiez vos relevés de compte bancaire ou de compte de carte de crédit pour vous assurer qu’il n’y a pas eu de frais ou de virements suspects. De plus, pensez à changer votre mot de passe régulièrement. Assurez-vous de créer des mots de passe sécuritaires composés de lettres, chiffres et caractères spéciaux. N’utilisez pas de surnom, de date d’anniversaire ou toute autre information que d’autres personnes pourraient connaître.

6) Signalez toute chose qui vous semble suspecte : si vous pensez que vous avez reçu un hameçonnage par courriel, rendez-vous service et aidez les autres en le signalant. Vous pouvez transférer les courriels d’hameçonnage à la Federal Trade Commission (FTC) à l’adresse spam@uce.gov ou signaler des pourriels au Anti-Phishing Working Group à l’adresse reportphishing@antiphishing.org.

Même si l’hameçonnage est un problème répandu, le fait de se tenir informé et de prendre les précautions nécessaires vous aidera à vous protéger. McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, 1-888-847-8766, www.mcafee.com

McAfee et/ou d’autres marques mentionnées dans le présent document sont des marques déposées ou des marques de commerce de McAfee, Inc. et/ou de ses sociétés affiliées aux États-Unis et dans d’autres pays. McAfee Red se distingue des produits de marque McAfee en ce qui concerne la sécurité. Toutes les autres marques déposées et non déposées mentionnées dans ce document sont la seule propriété de leurs propriétaires respectifs. Tous droits réservés.