Soutenez

Le harponnage, cet hameçonnage qui nous cible avec des courriels frauduleux


Après l’hameçonnage, une autre pratique frauduleuse se propager sur le web à une vitesse fulgurante: le harponnage. On ne tente plus seulement de « pêcher une victime » en propageant un courriel ou des fichiers malveillants, on envoie des appâts personnalisés, on cible quelqu’un: on nous cible NOUS!

Les activités malhonnêtes sur le Web sont diversifiées et parfois difficilement identifiables. C’est le cas du harponnage, une sorte d’hameçonnage agressif qui consiste à tenter de piéger une personne en particulier en utilisant ses informations personnelles pour gagner sa confiance.

Parfois, on tente de se faire passer pour une entreprise ou un service avec lequel on a déjà fait affaires, on envoie une facture par courriel adressé à notre nom avec des achats que l’on n’a pas faits et un lien sur lequel on doit cliquer pour obtenir plus de détails.

Ce type de courriel a tellement l’air vrai que même un œil averti pourrait se faire prendre.

Le harponnage sur le web

Le harponnage est de plus en plus répandu et les cas augmentent avec le nombre d’utilisateurs des réseaux sociaux, un lieu où il est facile d’obtenir des informations sur une personne.

Les fraudeurs utilisent ces informations personnelles pour envoyer des courriels d’hameçonnage ciblés, avec des noms et adresses en affichant des logos et des signatures qui semblent officiels.

Le tout nous redirige, par exemple, vers le faux site d’une institution financière où on nous demande d’inscrire nos numéros d’accès. Si on se fait prendre au piège, notre compte tombe dans les mains de personnes mal intentionnées en l’espace de quelques secondes à peine.

On pourrait croire que si on ne répond pas à ces courriels on ne court aucun risque, mais ce n’est pas nécessairement le cas: il ne faut cliquer sur aucun lien, ne télécharger aucune pièce-jointe, etc.

Malheureusement, les messages sont souvent si bien faits que même les personnes les plus aguerries tombent parfois dans le panneau, c’est pour dire!

L’exemple d’une internaute

Parmi les exemples les plus révélateurs, on retrouve les faux messages d’institutions connues avec lesquelles on a l’habitude de faire affaire, comme l’exemple qui nous a été transmis par une internaute.

La personne en question a bel et bien un compte chez Apple, mais n’a jamais effectué un tel achat:

Chère XZXZXZXZ,

Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.
suite à votre commande n°EO202608527 passée sur le site apple.com et expédiée. Nous vous transmettons la facture correspondante.
Vous trouverez votre facture 50522231823V en télérèglement concernant votre commande EO202608527 du 3 jan 2012 sur le lien suivant :

http://www.apple.com/clients/download/facture50522231823v.zip

Ce message confirme que vous avez acheté les articles suivants :
Apple – Macbook – Ordinateur portable 13″ – Intel Core 2 Duo – 250 Go – RAM 2048 Mo – MacOS X 10.6 – Jusqu’à 10h d’utilisation – NVIDIA GeForce GT 320M – Blanc

Montant total de la commande : EUR 995,11
Infos livraison : Commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
—————————
Total HT : EUR 832,03
TVA : EUR 163,08
—————————
Montant total pour cette commande : EUR 995,11
Le montant à payer vous sera facturé à l’aide du moyen de paiement que vous avez choisis :

Nous avons le plaisir de vous informer que votre colis 6920829110901078 est prêt.
Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.

Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.
Vous pouvez bien entendu suivre votre commande via votre Espace clients.

Nous vous remercions de votre confiance.
Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement

Cordialement,
Votre Service Clients

Des indices révélateurs à reconnaître

Dès le départ, le fait de recevoir un courriel de confirmation pour un achat effectué sur le web sans que vous ayez fait une telle transaction constitue un indice que quelque chose cloche.

Avant même d’analyser le message, on regarde d’abord quelle est l’adresse courriel de l’expéditeur. C’est le meilleur moyen de savoir si c’est un vrai ou faux courriel.

Puis, dans ce cas-ci, la présence d’un lien .zip est aussi un élément louche puisque le texte prétend diriger vers une page web et non activer le téléchargement d’un fichier.

Le pire, c’est que dans le courriel original, lorsqu’on passe la souris sur ce lien, c’est une autre adresse que celle inscrite qui s’affiche. Il s’agit donc d’un « faux lien »: ce qui est affiché n’a rien à voir avec l’adresse où on sera dirigé en cliquant.

En gros, on pourrait écrire n’importe quoi dans le lien pour gagner la confiance des gens. Par exemple, le lien pourrait bien s’appeler www.francoischarron.com et, en réalité, rediriger vers www.virusinformatique.com.

Bref, il faut être vigilant avant de cliquer sur un lien dans un courriel malveillant, même si celui-ci semble sécuritaire.

L’importance d’une suite de protection complète

C’est certain que la meilleure précaution demeure la vigilance. Par contre, une bonne suite de protection sonnera une alerte dès que quelque chose de louche est détecté. Plus qu’un simple antivirus, ça prend une suite de protection complète.

C’est certain qu’on préférerait que ce genre de courriels ne se retrouvent dans notre boîte de réception. Par contre, certaines arnaques sont tellement bien imaginées qu’elles passent à travers les filtres anti-pourriels.

Dans ces cas, c’est l’antivirus qui prend la relève et nous pousse à nous questionner avant de cliquer sur un lien ou de télécharger un fichier. Il n’élimine peut-être pas les menaces, mais il nous dit quand il y a quelque chose de louche.

Évidemment, c’est à chaque utilisateur de prendre en considération ces avertissements. On peut choisir la prudence et ne pas aller plus loin ou ignorer les alertes et causer des dommages qui auraient facilement pu être évités.

Cette chronique contient des liens d’affiliations. Apprenez-en plus.

Articles récents du même sujet

Mon
Métro

Découvrez nos infolettres !

Le meilleur moyen de rester brancher sur les nouvelles de Montréal et votre quartier.