Le phishing est l'une des techniques les plus utilisées par les cybercriminels pour voler des données personnelles et bancaires. À l'aide de techniques d'ingénierie sociale, le cybercriminel usurpe l'identité des entités, personnes, marques ou services connus pour essayer de tromper ses victimes. Son objectif final est généralement l'argent ou l'obtention d'informations sensibles, généralement en infectant l'équipement par le téléchargement d'un malware.


Au fil des années, les hackers ont évolué et perfectionné leurs méthodes de tromperie, créant des courriels de phishing toujours plus sophistiqués et difficiles à détecter. C'est pourquoi, pour ne pas tomber dans le piège, l'utilisateur doit apprendre à reconnaître les signaux qui peuvent trahir le cybercriminel.


Lorsque nous recevons un nouveau courriel, nous devons nous poser les questions suivantes :

1. Le message est-il suspect?

Pour tromper sa victime, le cybercriminel peut créer des courriels qui inspirent confiance ou curiosité, en usurpant l'identité d'une entité bancaire, d'une plateforme de vidéos en streaming ou simplement en écrivant un message attrayant qui pousse à cliquer sur un lien ou un fichier. 

Bien que l'expéditeur soit apparemment connu ou que le message soit très persuasif, il ne faut pas se fier à des courriels inattendus ou à des réponses que nous n'avons pas demandées.


2. Qui envoie le courriel?

Il est indispensable d'analyser en détail l'adresse électronique de l'expéditeur et de ne pas se fier uniquement au nom qui nous est donné. Vous devez toujours vous pencher sur le domaine utilisé : si le courriel est émis par un service ou une entité, il est très probable qu'il ou elle utilise ses propres domaines pour les adresses électroniques de l'entreprise. Si vous recevez la communication depuis une messagerie générique de type @gmail.com, @outlook.com, vous pouvez commencer à avoir des doutes.

Les cybercriminels peuvent aussi créer des domaines qui semblent à première vue réels, mais qui, si nous faisons bien attention, peuvent contenir de petites modifications par rapport au domaine réel. Par exemple : caixabank.com est réel, mais caixabanc.com ne l'est pas. Il est donc nécessaire de s'assurer que l'adresse électronique comporte le domaine officiel de l'entreprise et ne pas se laisser tromper par de petits changements parfois presque imperceptibles.


Toutefois, même si le domaine de l'adresse électronique est apparemment légitime, le contenu du courriel nous paraît suspect, il est toujours conseillé de contacter l'expéditeur par un autre canal (par téléphone, par exemple) pour confirmer la légitimité du courriel, avant de cliquer sur un lien ou une pièce jointe qu'il pourrait contenir.

3. Est-ce une demande urgente?

Créer un sentiment d'urgence est un recours courant chez les hackers. Des messages tels que « Votre mot de passe a expiré. Vous avez 24h pour modifier votre mot de passe... », poussent la victime à prendre une décision rapide et précipitée. 

Outre l'urgence, le concept de confidentialité est également très utilisé dans ce type d'escroqueries. Des messages tels que « N'en parle à personne d'autre s'il te plaît, il s'agit d'une affaire secrète et confidentielle. Je te fais confiance... » cherchent à dissuader la victime de procéder aux vérifications de sécurité pertinentes et ne pas vérifier par conséquent la demande auprès de quelqu'un d'autre. Quel que soit le degré d'urgence ou de confidentialité que transmet le message, il est toujours recommandé de contacter l'expéditeur par un autre canal pour vérifier que le courriel est vraiment légitime.

4. Qui est le destinataire du courriel?

Les campagnes de phishing sont généralement massives et ciblent des centaines de milliers de personnes dans le monde. Il est donc courant qu'ils ne disposent pas des données personnelles de leurs victimes potentielles et utilisent des termes génériques tels que « Mon ami », « Cher client » ou « Bonjour », sans utiliser le prénom de chaque individu. 

Toutefois, les techniques des hackers se sont perfectionnées et les cas de phishings personnalisés et adressés à des victimes spécifiques, comme la fraude au président et la fraude des factures, sont de plus en plus nombreux.

Que l'expéditeur connaisse le prénom de l'utilisateur n'est donc pas une preuve de sa légitimité.

5. Le lien est-il légitime?

Si le courriel contient un lien, il est nécessaire de vérifier où il conduit avant de cliquer, car il pourrait s'agir d'un lien piège. Nous devons analyser l'adresse Web, ou URL, pour voir si elle est connue. Comment?

Passer le curseur sur le lien sans cliquer permet de voir l'adresse Web et de vérifier si elle est connue ou non. Celle-ci apparaît dans une petite fenêtre contextuelle et aux pieds de la plupart des navigateurs Internet. Si l'adresse à laquelle le lien renvoie ne correspond pas à celle indiquée dans le contenu du message, il pourrait cacher un site Web malveillant.

6. Le courriel est-il bien écrit?

Qu'une entité ou une compagnie envoie une communication avec une rédaction et une orthographe négligées est un signal d'alarme qui nous indique un éventuel courriel frauduleux.

Les campagnes de phishing sont parfois menées depuis l'étranger et visent à attaquer des personnes de différentes nationalités. Les cybercriminels traduisent donc leurs messages en plusieurs langues, parfois avec de nombreuses erreurs en raison de l'utilisation de traducteurs automatiques.

Des phrases mal construites, des traductions trop littérales, des mots avec des symboles étrangers ou des erreurs sémantiques sont des pistes qui peuvent trahir les fraudeurs. Mais de nombreux cas de courriels de phishing élaborés avec une parfaite rédaction sont également recensés. Tout texte, bien écrit ou non, est susceptible de dissimuler une tentative de fraude. 

7. Si je ne suis toujours pas sûr à 100 %...

Même si tous les éléments du courriel sont analysés, il se peut que vous ne soyez toujours pas totalement sûr de sa légitimité. Les phishings sont de plus en plus sophistiqués et il est parfois très difficile de les distinguer d'un courriel légitime. 

Dans ces cas, l'authenticité de l'expéditeur doit être confirmée par un autre canal. En d'autres termes, si vous recevez un courriel suspect d'une entreprise ou d'une personne, il convient de la contacter par téléphone pour vérifier que la communication est réelle et légitime. 

Êtes-vous sûr que c'est CaixaBank qui vous contacte?


Bien que les entreprises investissent de plus en plus dans de nouvelles et meilleures mesures de cybersécurité, les utilisateurs doivent apprendre à reconnaître les menaces qui pèsent sur le monde numérique. Nous pouvons tous être la cible des cybercriminels, y compris les utilisateurs de services bancaires.

Par exemple, en tant qu'utilisateur de CaixaBank Sign, vous pouvez recevoir le courriel ou le SMS frauduleux d'un criminel, avec l'objet « vous avez un problème avec votre CaixaBank Sign ».