Dix tactiques d’hameçonnage dont vous devriez vous méfier

Cet article vous présentera dix tactiques d’hameçonnage qui pourraient vous cibler si vous n’êtes pas méfiants face aux courriels que vous recevez.

1. Le faux courriel de livraison de Postes Canada
2. Le faux courriel de votre banque ou de PayPal
3. Le faux courriel du Gouvernement
4. Le faux courriel de votre fournisseur d’accès Internet, de téléphone ou d’Hydro-Québec
5. Le faux courriel de Microsoft, de Google ou d’Apple
6. Le faux courriel de recrutement ou de proposition d’emploi
7. Le faux courriel de relance de facture professionnelle
8. Le faux courriel d’assistance technique de Microsoft
9. Le faux courriel d’hameçonnage vocal avec demande de rappel
10. Le harponnage ou l’attaque ciblée personnalisée

Outre une description de la méthode d’attaque utilisée dans chacun de ces cas, des signes d’alerte seront mentionnés de même que les réflexes à adopter.

Introduction

La référence initiale pour cet article m’a été fournie par Michel Gagné, notre pourfendeur habituel des pratiques malhonnêtes sur le Web. Je tiens à le remercier pour m’avoir mentionné l’existence de cette publication.

Le texte qui suit reprend essentiellement le contenu d’un article de Futura Sciences en l’adaptant au contexte québécois : Découvrez le top 10 des arnaques par mail les plus sophistiquées qui circulent en ce moment.

Richard Gervais

---

1. Le faux courriel de livraison de Postes Canada

Ce type d’hameçonnage (phishing) exploite votre attente possible d’un colis de Postes Canada ou d’un autre service de livraison. Vous recevez un courrier électronique prétendant qu’un colis n’a pas pu être livré en raison d’un problème quelconque, vous invitant à cliquer sur un lien pour reprogrammer la livraison.

Ce lien mène vers un site frauduleux imitant l’interface du transporteur, où l’on vous demandera vos coordonnées bancaires pour payer des frais imprévus.

Signes d’alerte : l’adresse de l’expéditeur contient souvent un enchaînement de lettres sans rapport avec l’entreprise, l’URL du lien ne correspond pas au domaine officiel du transporteur ou, parfois, une légère faute est présente dans le nom de celui-ci.

Réflexe à adopter : ne cliquez jamais sur le lien. Ouvrez un nouvel onglet, tapez manuellement l’adresse véritable du site du transporteur et vérifiez le suivi de vos colis directement dans votre espace client.

---

2. Le faux courriel de votre banque ou de PayPal

Voici l’une des arnaques par courriel les plus anciennes, mais aussi les plus perfectionnées aujourd’hui. Le message vous alerte d’une
« connexion suspecte » depuis un pays étranger ou d’un « compte bloqué » à la suite d’une tentative d’intrusion.

On vous demande de « vérifier votre identité » en cliquant sur un lien ouvrant une page qui est une copie conforme de l’interface bancaire ou de PayPal. Une fois vos identifiants saisis, les voleurs les récupèrent instantanément.

Signes d’alerte : les banques et les services de paiement ne demandent jamais de transmettre vos identifiants ou codes de validation par courriel ni de les saisir par l’entremise d’un lien non vérifié. La présence du https ne garantit pas qu’un site est légitime. Il est essentiel de vérifier attentivement le nom de domaine.

Réflexe essentiel : ne cliquez sur aucun lien. Tapez vous-même l’adresse de votre banque dans votre navigateur et connectez-vous normalement pour constater l’état réel de votre compte.

---

3. Le faux courriel du Gouvernement

Autour des périodes fiscales, ces courriels frauduleux prolifèrent. Vous recevez un message prétendant que vous avez droit à un remboursement imprévu d’impôts ou que vous devez payer une amende.

Le lien présent dans le courriel vous dirige vers un site gouvernemental factice où l’on vous soutirera vos informations personnelles et bancaires.

Signes d’alerte : les gouvernements privilégient les espaces sécurisés officiels. Les montants annoncés sont souvent suspects et l’urgence est martelée.

Réflexe vital : ne cliquez jamais. Connectez-vous directement à votre espace officiel de l’agence gouvernementale concernée que vous connaissez déjà et consultez vos messages dans la messagerie interne sécurisée.

---

4. Le faux courriel de votre fournisseur d’accès Internet, de téléphone ou d’Hydro-Québec

Ce type d’arnaque a été récemment illustré dans cet article de Michel Gagné en lien avec un faux courriel de Vidéotron.

Les noms des fournisseurs d’accès Internet, de téléphone ou d’Hydro-Québec peuvent être usurpés. Le courriel vous annonce une facture impayée avec une menace de coupure de service, un remboursement pour trop-perçu ou une offre exceptionnelle à durée limitée.

Le lien vous emmène vers une fausse page où l’on vous vole vos identifiants de connexion ou vos coordonnées bancaires.

Signes d’alerte : examinez minutieusement l’adresse de l’expéditeur. Un courriel d’une entreprise utilisera son véritable nom de domaine sans l’ajout de lettres, de mots ou de chiffres inattendus. Les offres trop alléchantes sont aussi toujours suspectes.

Réflexe indispensable : ne répondez pas et n’appelez pas le numéro éventuellement indiqué. Contactez votre fournisseur à l’aide du numéro de téléphone officiel figurant sur votre facture ou sur son site Internet légitime.

---

5. Le faux courriel de Microsoft, de Google ou d’Apple

Ce type d’hameçonnage joue sur votre peur de perdre l’accès à vos comptes les plus importants. Vous recevez une alerte de « sécurité critique » indiquant que votre compte a été compromis ou qu’une mise à jour de mot de passe est obligatoire.

Le lien mène vers une page de connexion parfaitement imitée de Microsoft, Google ou Apple. Une fois vos identifiants saisis, les pirates prennent le contrôle de votre boîte de courriels et de tous les services associés.

Signes d’alerte : ces entreprises peuvent envoyer des alertes de sécurité, mais elles n’incitent pas à saisir vos identifiants à l’aide de liens ou de domaines non officiels. Regardez l’URL, les pages de connexion officielles sont sur des domaines comme accounts.google.com ou login.microsoftonline.com.

Réflexe simple : tapez directement l’adresse véritable du service dans votre navigateur et connectez-vous sans passer par ce courriel.

---

6. Le faux courriel de recrutement ou de proposition d’emploi

Très répandu avec les adresses professionnelles et personnelles, ce message semble provenir d’un recruteur enthousiaste. On vous propose un poste bien rémunéré avec des horaires flexibles ou un test à réaliser avant une entrevue.

Une pièce jointe, un PDF de « description de poste », contient en réalité un logiciel malveillant (malware). Un lien peut aussi vous envoyer vers un formulaire qui vole vos données personnelles. Parfois associé à une offre d’emploi trop belle pour être vraie, ce type d’hameçonnage exploite les chercheurs d’emploi vulnérables.

Signes d’alerte : une adresse générique peut être un indice, mais elle doit être croisée avec d’autres éléments de vérification. La grammaire peut être étrange, la mise en forme approximative et le nom du recruteur introuvable sur LinkedIn.

Réflexe : n’ouvrez aucune pièce jointe inattendue. Recherchez l’entreprise sur Internet et contactez-la directement à l’aide de son site officiel pour vérifier l’offre.

---

7. Le faux courriel de relance de facture professionnelle

Cette attaque cible spécifiquement les entreprises et leurs services comptables. Le courriel semble provenir du PDG, du directeur financier ou d’un fournisseur usuel, demandant un virement urgent pour une « acquisition stratégique », un « remboursement de caution » ou une « facture impayée ».

Le ton est impératif, l’urgence est maximale et le montant souvent élevé. Le compte bancaire destinataire est bien sûr celui des fraudeurs.

Signes d’alerte : le domaine de l’expéditeur peut être trompeur, par exemple, @entreprise-sa.com au lieu de @entreprise.com. Le style du message ne correspond pas aux habitudes du vrai dirigeant et la demande de changer soudainement de compte bancaire est un signal d’alarme majeur.

Réflexe indispensable : toute demande de virement inhabituelle doit être vérifiée par un autre canal. Appelez la personne censée avoir envoyé le courriel sur son numéro habituel ou confirmez ce problème face à face.

---

8. Le faux courriel d’assistance technique de Microsoft

Ce type de fausse assistance technique vous alerte qu’un virus a été détecté sur votre ordinateur ou que votre licence antivirus a expiré. Le courriel vous invite à appeler un numéro de support technique pour une « assistance immédiate ».

Au téléphone, l’escroc vous demande d’installer un logiciel de contrôle à distance comme TeamViewer ou AnyDesk. Une fois connecté, il peut installer un véritable rançongiciel (ransomware), voler vos fichiers ou vos identifiants bancaires.

Signes d’alerte : Microsoft, Apple, Norton ou McAfee ne vous contactent jamais de cette façon. Le fait qu’un courriel vous cible personnellement ne garantit pas sa légitimité, ces informations pouvant provenir de fuites de données. Un numéro de téléphone inconnu ou non vérifiable doit alerter, quel que soit son format.

Réflexe : ne composez jamais ce numéro. Si vous avez un doute, allez directement sur le site de l’éditeur du logiciel et utilisez leur canal d’assistance officiel.

---

9. Le faux courriel d’hameçonnage vocal avec demande de rappel

L’hameçonnage vocal (vishing) combine courriel et téléphone. Vous recevez un courriel alarmiste prétendant que votre compte a été utilisé frauduleusement, qu’une transaction suspecte est bloquée ou que votre carte bancaire va être désactivée.

On vous demande de rappeler un numéro de « service client » en urgence. Lorsque vous appelez, un faux conseiller très professionnel vous soutire vos informations personnelles, vos numéros de carte bancaire ou vous demande de valider une opération sur votre téléphone.

Signes d’alerte : le ton du message est volontairement anxiogène pour vous faire agir sans réfléchir. La demande de rappel vers un numéro non officiel est le signal le plus évident. Les vrais services clients ne vous contactent jamais ainsi.

Réflexe à adopter : ne rappelez jamais le numéro figurant dans un courriel suspect. Cherchez le numéro officiel de l’entreprise sur son site Internet ou sur un document authentique et contactez-les vous-même pour vérifier.

---

10. Le harponnage ou l’attaque ciblée personnalisée

Voici la forme d’hameçonnage la plus dangereuse et la plus sophistiquée. Contrairement aux courriels massifs, le harponnage (spear phishing) est une attaque chirurgicale.

Le courriel est rédigé spécialement pour vous, utilisant votre prénom, votre nom, votre fonction, vos projets récents, vos relations professionnelles et, parfois, des informations piochées sur vos réseaux sociaux. Il peut sembler provenir d’un collègue, d’un supérieur hiérarchique, d’un client régulier ou d’un partenaire connu. Le message évoque un document partagé, une réunion à confirmer ou une facture à régler.

Signes d’alerte : même hyperpersonnalisé, le domaine de l’expéditeur peut être légèrement différent. Vérifiez les adresses caractère par caractère. Le ton peut être légèrement inhabituel ou la formulation étrange. Les pièces jointes ou les liens peuvent être justifiés, mais ils restent suspects.

Réflexe : en cas de moindre doute, contactez la personne censée avoir envoyé le courriel par un autre moyen : téléphone vocal, messagerie interne ou en personne. Une vérification rapide peut éviter un désastre.