La période des fêtes de fin d'année est une aubaine pour les arnaqueurs. Pour éviter leurs pièges, le meilleur moyen reste de les connaître. Cyberguerre vous présente 3 des scénarios les plus utilisés dans les campagnes de phishing, afin que vous puissiez les reconnaître.

Peut-être que vous vous préparez à couvrir vos proches de cadeaux à l’occasion des fêtes de fin d’année. Ou peut-être que tout simplement, vous voulez vous profiter des promotions du Black Friday pour vous offrir un objet qui vous faisait envie depuis longtemps. Malheureusement, des grincheux veulent gâcher votre plaisir, et espèrent profiter de cette période festive pour récupérer vos identifiants bancaires et vos données personnelles à l’aide d’emails frauduleux.

Pas de trêve de Noël pour les hackers. // Source : Louise Audry pour Numerama

Cette année, Cyberguerre a mis en garde contre de nombreuses de campagnes de phishing. Trois d’entre elles refont surface en cette fin d’année, et elles pourraient gagner en efficacité dans le contexte actuel, où les acheteurs vont encore plus commander en ligne. Mais même si vous faites Noël sans Amazon et profitez des commerces locaux rouverts depuis le 28 novembre, vous pourriez tout de même être visés par ces trois arnaques.

Heureusement, il suffit d’être attentif et d’avoir quelques réflexes d’hygiène numérique pour les éviter : vérifiez l’expéditeur, vérifiez l’adresse entière des pages web, et passez toujours par le site officiel de l’entreprise pour communiquer des informations sensibles comme celles de votre carte bancaire. Dans tous les cas, rien que connaître l’existence de ces phishings devrait suffire à vous mettre la puce à l’oreille.

La fausse annulation de commande

  • Le scénario :

Vous recevez un email de confirmation d’une commande, souvent pour un produit entre 500 et 1 000 euros, comme un écran ou un ordinateur. Le courriel affiche les couleurs d’une enseigne bien connue comme la Fnac, Darty ou Cdiscount, dans un format que vous avez sûrement déjà vu lors de vos précédentes commandes.

Voici un exemple d’email frauduleux. // Source : Twitter

C’est étrange : vous ne vous rappelez pas avoir commandé ce produit… En regardant de plus près, vous remarquez que votre nom et votre adresse figurent sur l’adresse de facturation. Problème : l’adresse de livraison et le nom du destinataire ne sont pas les vôtres. Quelqu’un aurait donc commandé depuis votre compte, grâce à vos informations bancaires. Heureusement, l’email vous propose un bouton « annuler la commande » bien mis en avant, qui devrait vous permettre d’éviter la catastrophe.  Mais il vous faut vite agir avant que la commande ne soit expédiée ! En cliquant sur le bouton, vous serez renvoyé vers une page extérieure.

  •  Son objectif

Selon les variantes de l’arnaque, les malfaiteurs essaieront de vous faire remplir un ou deux formulaires. Le premier, avec vos données personnelles : email, téléphone, adresse, nom… Ils pourront ensuite revendre ces informations en lot, ou s’en servir pour lancer d’autres phishings. Le second, avec vos données bancaires : ils pourront immédiatement tenter de lancer des transactions frauduleuses, ou vendre les identifiants.

  • Je me suis fait piéger, que faire ?

Tout dépend des informations que vous avez données : si vous avez simplement cliqué sur le lien dans l’email, vous ne risquez rien ; si vous avez communiqué vos données personnelles, redoublez de vigilance, vous pourriez recevoir de nouveaux messages d’arnaque ; si vous avez donné vos informations bancaires, faites opposition sur votre carte au plus vite, votre banque a sûrement une ligne téléphonique dédiée.

Les faux frais de livraison de colis

  • Le scénario

Vous recevez un SMS sur votre smartphone : le colis que vous attendiez n’a pas été livré, car vous devez vous acquitter d’un « affranchissement » ou d’un « droit de douane ». Heureusement l’organisme de livraison (le plus souvent La Poste, Colissimo ou Chronopost) vous donne un lien pour régulariser la situation.

Ce genre de phishing est particulièrement populaire chez les cybercriminels. // Source : Capture d’écran Numerama

Peut-être que vous attendez avec impatience le smartphone que vous venez de commander. Peut-être que vous commandez tellement de colis que vous ne savez plus lesquels sont en cours d’acheminement. Ou alors, vous ne commandez jamais, mais vous vous dites que ce pourrait être un cadeau de la part d’un proche. Dans tous les cas, vous ne voulez pas louper ce mystérieux colis, et payer 2 euros d’affranchissement n’apparaît pas comme une grande prise de risque. En plus, le numéro de commande existe, et vous indique bien que le paquet est en cours d’acheminement.

  • Son objectif

Les malfrats essaieront de vous faire remplir un faux formulaire de paiement. Il aura l’apparence d’un formulaire de transaction légitime, mais vos données iront directement dans les mains des pirates. Ils pourront ensuite les revendre pour s’en servir dans leur propre intérêt. Au lieu de payer seulement 2 euros, vous serez prélevés de bien plus… et vous ne recevrez aucun colis.

Certaines variations de l’arnaque consistent à vous abonner à un service de fitness ou de Yoga inexistant, afin de vous prélever discrètement des dizaines d’euros chaque mois par une transaction qui peut être reconnue comme légale.

Contrairement à des rumeurs en circulation sur les réseaux sociaux, ce phishing ne permet pas de connaître votre position GPS.

  • Je me suis fait piéger, que faire ?

Comme pour l’arnaque précédente, ne soyez inquiété que si vous avez communiqué des données. Si vous avez envoyé vos informations bancaires, faites opposition sur votre carte au plus vite.

Vous devez « débloquer » votre compte au plus vite

  • Le scénario

Vous recevez un message de votre banque ou d’un service de paiement comme PayPal : votre compte va être bloqué si vous n’agissez pas rapidement, ou alors il l’est déjà. C’est une catastrophe : vous avez déjà pris du retard dans vos achats de cadeaux, et vous ne pouvez pas vous permettre de perdre encore plus de temps.

Le message de phishing s’affiche en provenance de PayPalFR // Source : @Mikiane sur Twitter

Vous seriez tenté de faire confiance au message : il paraît provenir de votre banque et affiche votre nom, après tout.

  • Son objectif 

Les malfaiteurs veulent récupérer les identifiants de votre compte bancaire. Après cette étape, selon votre banque, les protections que vous avez activées et les éventuels autres renseignements dont disposeraient les malfrats, toutes sortes d’actes malveillants sont imaginables. Mais ils auront tous la même conséquence pour vous : une importante perte financière.

  • Je me suis fait piéger, que faire ?

Si vous avez encore accès à votre compte, changez au plus vite les identifiants, et activez la double authentification si c’est possible et que vous ne l’avez pas déjà fait. Ensuite, contactez votre banque pour les mettre au courant et s’assurer qu’ils puissent vous alerter s’ils détectent des activités inhabituelles sur votre compte.

Patience, et cette fin d’année se déroulera sans accroc

Malheureusement, nous ne pouvons pas lister tous les différents phishings que vous recevrez. Certains seront peut-être mieux faits, lancés par des cybercriminels plus rusés que ceux que nous venons de présenter. Donc si vous avez le moindre doute, faites confiance à votre intuition : cherchez si d’autres personnes ont fait face à une situation similaire, consultez d’autres avis, et passez par les ressources officielles du prétendu auteur du message. Et surtout, ne précipitez pas vos décisions : l’urgence joue en faveur des malfrats.

Crédit photo de la une : NBC/Netflix

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux