Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d’internautes.
La technique du phishing est une technique d’« ingénierie sociale » c’est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d’un courrier électronique semblant provenir d’une entreprise de confiance, typiquement une banque ou un site de commerce.
Voici quelques bonnes pratiques et attitudes à adopter concernant le pishing:
1. Vérifiez toujours le lien que vous allez ouvrir. Faites attention s’il comporte des fautes d’orthographe, car des hackers pourraient être en train d’essayer de vous attirer sur une fausse page.
2. Saisissez vos noms d’utilisateur et mots de passe uniquement quand vous utilisez une connexion sécurisée. Si vous voyez le préfixe « https » devant l’adresse d’un site, cela signifie que tout va bien. S’il n’y a pas de « s », méfiez-vous.
3. Même si vous recevez le message de l’un de vos meilleurs amis, rappelez-vous une chose : il pourrait aussi avoir été piraté. C’est pourquoi vous devez faire preuve de prudence en toute circonstance.
4. Il en va de même pour les e-mails des organismes officiels, comme les banques, les administrations fiscales, les boutiques en ligne, les agences de voyage, les compagnies aériennes, etc. Même pour les e-mails de votre propre entreprise. Il est très simple de créer une fausse lettre qui ressemble à une vraie.
5. Parfois, les e-mails et les sites Web frauduleux ressemblent énormément aux originaux. La ressemblance dépend de si les hackers ont fait récemment ou non leurs « devoirs à la maison ». Dans tous les cas, il est fort probable que les hyper liens soient incorrects (présence de fautes d’orthographe ou redirection vers un endroit différent). Vous pouvez faire attention à ces éléments pour différencier un site de confiance d’une imitation frauduleuse.
6. De manière générale, il vaut mieux ne jamais suivre les liens inclus dans les e-mails. Au lieu de cela, vous pouvez ouvrir une nouvelle fenêtre et saisir manuellement l’adresse de votre banque ou de votre boutique en ligne. Ce faisant, vous ne raterez pas de réduction ou d’offre spéciale (s’il y en a), et vous ne deviendrez pas la victime d’un hacker.
7. Si vous découvrez une campagne d’hameçonnage, vous devriez en faire part à votre banque (dans le cas où des hackers auraient imité le message de cette dernière) ou à l’administrateur du groupe sur le réseau social (si les liens malveillants sont envoyés par l’un des utilisateurs), etc. Agir ainsi permet d’arrêter les criminels.
8. Si vous le pouvez, ne vous connectez pas aux banques en ligne, ou à d’autres services similaires, en utilisant les réseaux de Wi-Fi public dans les cafés ou dans la rue. Il vaut mieux utiliser une connexion mobile ou patienter un peu, plutôt que de perdre tout l’argent que vous avez sur votre compte de crédit. Le problème, c’est que de tels réseaux peuvent avoir été créés par des hackers, qui imitent les adresses des sites Web pendant la connexion et vous redirigent ensuite vers une fausse page.
9. Les fichiers que vous recevez de vos amis qui jouent à des jeux de rôle multi-joueurs en ligne peuvent aussi être des ransomwares ou des logiciels espions, à l’image des pièces jointes que contiennent les e-mails. Alors, soyez vigilants !
