On ne le dira jamais assez : faites attention aux mails que vous recevez ! Ce n’est pas parce que « la banque » vous écrit un courriel avec un joli texte et un logo que vous devez faire une confiance aveugle dans le message que vous avez reçu. Tous les sites institutionnels sont concernés, ainsi que les opérateurs mobiles, les sites marchands, etc. Même l’assurance maladie / sécurité sociale est victime de ce que l’on appelle le « phishing » (hameçonnage en français).

Par mail, mais aussi par SMS / texto / WhatsApp et même par appel téléphonique, les arnaqueurs ne reculent devant rien pour tenter de soutirer de l’argent à des personnes un peu trop crédules. Tous les sites concernés le signalent : ne cliquez pas aveuglément sur un lien présent dans un e-mail, même si la mise en page ressemble fortement aux communiqués de votre banque, de votre assureur ou de votre fournisseur d’électricité.

La tâche est rude pour ces entreprises, voire impossible. En effet, il ne suffit que d’un ordinateur et de 10€ pour se lancer dans le phishing. Un nom de domaine en .com / .fr / .be / .qc, même avec un « cadenas vert » pour faire croire aux gens que le site est fiable, ça ne coûte que quelques euros par an. Rédiger ou copier un mail similaire à un original, et quelques heures après le fraudeur en herbe est prêt à envoyer ses courriers indésirables. Mais à qui va-t-il les envoyer ? Récolter des centaines d’adresses mail est trop fastidieux, autant aller sur le darknet et acheter des listes d’adresses pour une poignée d’euros ou de cryptomonnaie.

Mais comment s’en protéger ? Comment savoir si un mail, en apparence officiel, ne serait pas une tentative de fraude ? Cette page rappelle quelques astuces pour voir, même depuis son téléphone, si un courriel est du phishing ou s’il est légitime. Bien sûr, il n’est pas possible de faire un mode d’emploi parfait et si on dit que les pirates ont toujours une longueur d’avance, ce n’est généralement que du bon sens et de la lecture. Car parfois, lire correctement tout le texte est déjà suffisant pour démasquer une arnaque.

1. Une mise en page bancale

Si le mail est mal présenté, que le logo est mal intégré sur la page ou que la présentation générale est franchement mauvaise, cela ne peut pas être un mail officiel. A fuir ou passer à l’étape suivante si un doute persiste.

2. Trouver les fautes de français

Cela implique de savoir lire et écrire correctement le français (ou autre langue du courriel reçu) mais les tentatives de phishing contiennent (heureusement) souvent quelques fautes d’orthographe ou de grammaire. La ponctuation est aussi importante. Il est alors facile de déduire que ce courrier électronique n’émane pas d’une organisation sérieuse telle qu’une banque, une assurance ou une entreprise qui emploie des milliers de salariés.

Dans cet exemple, il y a des fautes de conjugaison et d’accord, sans parler de la ponctuation incomplète.

mail ameli phishing

3. Etes-vous client du service ?

Bien sûr, si le mail présenté vous parle de facture impayée ou de compte client, il va de soi que vous avez déjà jeté ce mail si vous n’avez jamais eu de lien avec cette société. Plus difficile à faire avec les impôts du pays de résidence ou un faux mail Amazon, mais c’est une piste supplémentaire pour ne pas se faire avoir.

4. Qui est l’expéditeur

Par expéditeur du mail, il ne faut pas juste comprendre « le nom affiché » mais la véritable adresse mail derrière ça. L’exemple ci-dessous affiche un nom d’expéditeur en apparence fiable, mais son adresse mail est bien déroutante : bien lire ce qui se trouve derrière le « @ » (arobase).

fake mail phishing

Il est très facile et gratuit de créer une boite mail au nom du président de la république ou d’une grande entreprise. Mais la suite l’est un peu moins. Malgré tout, des petits malins arrivent à acheter des noms de domaine très proches : « assurance-maladie-france.fr », « free-mobile.net », « easyjette.com » ou « votre-banque-nationale.com ». Il faut être vigilant mais c’est nécessaire pour ne pas soutirer de l’argent ou un accès à un service important tel qu’un identifiant et son mot de passe sur Amazon avec la carte bancaire enregistrée.

5. Attention aux pièces-jointes

Ne pas ouvrir de fichier attaché sans avoir vérifié son extension, Là encore, il s’agit de savoir si vous avez l’habitude de recevoir une facture par mail de votre opérateur téléphonique ou boutique en ligne. Si habituellement il s’agit d’une simple notification par mail qui renvoie sur le site, alors méfiance. Et si le mail en question vous envoie sur un site pour télécharger une facture, lisez le paragraphe suivant !

6. Où m’envoie le lien du mail

Enfin, le dernier indice se cache dans le corps du message. C’est la technique majoritairement utilisée pour arnaquer quelqu’un. Comme vu en introduction, héberger un site ne coûte quasiment rien et copier une page officielle d’un vrai site n’est pas très compliqué non plus.

Plus facile à faire sur ordinateur, il faut laisser la souris sur le bouton « Se connecter » ou autre attrape nigaud pour voir apparaitre le vrai nom du site sans avoir cliqué dessus. Cette info bulle est essentielle pour savoir si la destination du clic est fiable ou non. Et là encore, méfiez-vous des contrefaçons. C’est d’autant plus difficile à déceler que le nom de domaine semble légitime, par exemple ameli-renouvellement.fr ou renouvellement-ameli.fr.

faux SMS ameli fake phishing

Et si vous avez cliqué par erreur, ne remplissez pas le formulaire avec mot de passe ou numéro de carte bancaire !

Pour information, un antivirus seul ne pourra rien faire car ce n’est pas un programme malveillant que de vous demander de renseigner vos informations personnelles sur un site web. Cependant, certains logiciels antivirus sont accompagnés d’une protection web pour bloquer ces sites internet dangereux.

 

Quelques conseils donnés par l’Assurance maladie en France

guide anti hameconnage phishing