Repérer un e-mail de phishing ou un SMS de smishing

Près de 1000 faux noms de domaine en .fr ont été déposés récemment. Un dépôt qui présage une campagne massive de phishing dans les prochaines semaines.

Elboncoin.fr, facebbook.fr, leelynx.fr : Ces sites vous semblent familiers et sans faire réellement attention vous pourriez  si vous recevez un de ces liens cliquer dessus. 

Ces sites sont tout simplement dans une liste qui est apparue la semaine dernière sur twitter :  1000 noms de domaine en .fr reprenant principalement des grands noms de marques ont été déposés le 22 juillet dernier.  Des noms de domaine, avec "des coquilles" qui présagent  très certainement des attaques de hameçonnage (phishing ou smishing) de manière massive dans les prochaines semaines ou mois. 

Si ces noms n'avaient pas été déposés en même temps, ils seraient passés inaperçus aux yeux des spécialistes en cybersécurité.  On aurait même pu penser que les grandes marques concernées étaient à l'origine de ce dépôt pour éviter justement  le pire à leurs clients et utilisateurs. Mas il n'en ai certainement rien.  Nous pouvons donc prévoir que  sous peu des messages personnalisés apparemment légitimes  demandant  aux destinataires de cliquer sur un de ces liens, seront envoyés.  Des sites qui contiendront des malware visant à récupérer les données des "malheureux cliqueurs". 

Tout le monde peut être victime d'escroqueries par phishing. Bien que certaines soient assez évidentes, d'autres peuvent être difficiles à repérer, cliquer sur un lien malveillant est vite arrivé . Afin de se protéger en ligne,  il faut vraiment que les français adoptent des solutions de cybersécurité surtout dans le contexte mondial dans lequel nous nous trouvons actuellement

En attendant, voici comment repérer un e-mail de phishing ou un SMS de smishing : 

  • Vérifiez l'adresse mail ou le numéro de téléphone de l'expéditeur. Ne vous fiez pas uniquement au nom affiché - faites attention à l'adresse e-mail, au numéro de téléphone et aux autres informations d'identification de l'expéditeur.
  • Recherchez les fautes d'orthographe et de grammaire. Les entreprises et les institutions sérieuses n'envoient généralement pas d'e-mails dont la grammaire  et l'orthographe sont  douteuses ; la formulation des e-mails reste simple.
  • Ne cliquez pas sur les liens et ne téléchargez pas de pièces jointes. S'il s'agit d'un e-mail ou d’un lien trouvé sur les réseaux sociaux, passez votre souris sur le lien pour voir le lien de destination. Vérifiez s'il a l'air légitime et, surtout, s'il contient la partie « https » pour indiquer une connexion sécurisée. Si c'est un SMS - il est préférable de rechercher le site Internet vous-même plutôt que de cliquer dessus.
  • Le contexte est important. Vous attendiez-vous à recevoir un tel e-mail ou SMS ? Si ce n'est pas le cas, alors c'est probablement suspect, surtout si l'offre est trop belle pour être vraie.
  • Si vous avez un  doute, contactez l'entreprise ou l'institution par téléphone ou via une autre adresse e-mail et demandez confirmation de la légitimité du message.
  • Si vous remarquez un site de phishing, n'hésitez pas à vous rendre sur le site mis en place par le Ministère de l'intérieur  Phishing-Initiative. fr. Alerter les personnes compétentes peut non seulement vous aider, mais aussi aider d'autres personnes touchées par cette tentative de phishing.

Si on ne peut certainement pas éviter les hackers d'agir, connaitre leurs méthodes sera notre meilleure défense.