« Du fait de l’activité et des sollicitations accrues liées aux achats de Noël, la période de fin d’année est propice à la recrudescence d’emails frauduleux, alerte Didier Gras, responsable cybersécurité chez BNP Paribas. De manière générale, les vagues de campagnes d’escroquerie, et plus particulièrement de phishing, sont souvent liées à l’actualité, comme la crise de la Covid-19. Les cybercriminels surfent sur ces événements pour tenter d’attirer les internautes imprudents dans leurs filets ! »

Les cybercriminels n’ont pas tardé à exploiter la pandémie de la Covid-19 pour piéger les gens, avides d’informations sur la maladie. Si le pic des attaques se situe en mars et avril (cf. les rapports de F-Secure ou de Barracuda Networks), la menace n’a pas disparu.

En outre, en ce mois de décembre, la méfiance est plus que jamais de rigueur, par exemple si vous recevez un message qui vous indique qu’un colis vous attend en bureau de Poste en vous sommant d’appeler un numéro surtaxé ou qui vous invite à découvrir le cadeau idéal pour Noël en vous incitant à cliquer sur un fichier joint. « Prudence également car les emails frauduleux sont de mieux en mieux rédigés, prévient Didier Gras. Avant, ces messages étaient truffés de fautes, ce qui mettait la puce à l’oreille. Maintenant, ils sont écrits dans un français tout à fait correct. »

Pour rappel, le phishing est une technique par laquelle des cybercriminels dupent l’internaute afin de lui dérober ses données personnelles (identifiants de connexion, mots de passe, coordonnées bancaires…). Cette pratique consiste à vous envoyer un email en usurpant l’identité d’un tiers de confiance et en vous invitant à cliquer sur un lien, voire à appeler un numéro surtaxé, afin que vous communiquiez des informations confidentielles. Une autre technique consiste à vous faire ouvrir une pièce jointe malveillante qui va infecter votre machine.

Restez lucide et vigilant quel que soit le message !

Les campagnes de phishing reposent souvent sur les mêmes mécanismes :

• avertissement (non-paiement d’une facture avec suspension du service, problème de sécurité…),
• promesse d'un gain (erreur en votre faveur, loterie…),
• notification d'une bonne affaire,
• vente de produits illicites,
• Etc.

« Ne prenez rien pour argent comptant, avertit Didier Gras. Ne cédez pas à la curiosité, ni à l’immédiateté inhérente à la communication digitale. Ne vous laissez pas impressionner par la prétendue urgence qui peut être invoquée dans l’email. » Sachez qu’aucun service gouvernemental, aucune banque, aucun fournisseur ou site Internet ne demande par email de transmettre des informations qu’ils ont déjà.

Dans le même ordre d’idée, ne relayez pas les chaînes de messages de type appel à solidarité ou alerte virale. Ils peuvent cacher une tentative d’escroquerie. Une des bonnes pratiques consiste à ne jamais faire dans le virtuel ce que vous ne feriez pas dans la vie réelle. « Communiqueriez-vous vos coordonnées bancaires à un inconnu ?, interpelle l’expert. C’est pareil avec un email ! »

Vérifiez les éléments de l’email suspect : adresse, lien, nom du fichier…

Avant de répondre ou d’interagir avec un courrier électronique, vérifiez l’identité de l’expéditeur et notamment son adresse email. Est-ce bien le bon nom de domaine ? Soyez vigilant : parfois, un seul caractère peut changer dans l’adresse.

Vérifiez également les liens en les survolant avec votre souris : vous obtiendrez l’adresse complète du site dans la barre d’état du navigateur située en bas à gauche de la fenêtre. Pointe-t-il réellement vers le site Internet de l’entreprise ou de l’administration mentionnée ?

En cas de doute sur la provenance d'un e-mail (destinataire inconnu, lien bizarre, nom ou format de fichier inhabituel…), ne cliquez sur rien. « Il vaut mieux être trop suspicieux que pas assez !, souligne Didier Gras. Avec un email, il n’y a aucune garantie sur l’expéditeur, ni sur les liens et les pièces jointes. Si vous connaissez l’expéditeur, appelez-le pour lever le doute. Il peut être victime d’une usurpation d’identité numérique en s’étant fait pirater sa messagerie. »

Pensez à bien paramétrer votre messagerie

Équipez-vous de quelques logiciels essentiels : un pare-feu, un antispam, un antivirus pour votre ordinateur et pour votre messagerie, voire un logiciel anti-espion. « Et surtout soyez toujours à jour dans les mises à jour des patchs correctifs, dont dépend l’efficacité de ces outils », rappelle Didier Gras.

Assurez-vous que vous avez désactivé la prévisualisation automatique des emails dans votre messagerie ou encore l’exécution automatique des ActiveX, des plug-ins et des téléchargements. Vous pouvez également opter pour une lecture en texte brut de vos messages. Enfin, supprimez bien tous les messages suspects.

Que faire si, malgré vos précautions, vous estimez avoir été victime d’une escroquerie par email ?

1. Lancez une analyse antivirus. « C’est bien souvent suffisant », indique Didier Gras.

2 Vous pouvez également vérifier l’état de votre ordinateur via des sites de confiance comme BrowserCheck de Qualys (en anglais).

3. N’hésitez pas à signaler les emails suspects sur signal-spam.fr et l’adresse d’un site de phishing sur phishing-initiative.fr qui le bloquera dans les navigateurs. Vous pouvez également contacter Info Escroqueries au 0 805 805 817, l’appel est gratuit. Sans oublier le dispositif d'aide aux victimes cybermalveillance.gouv.fr pour obtenir de l’aide pratique.

4. Si vous avez communiqué vos identifiants, changez-les immédiatement. Si ce sont vos coordonnées bancaires que vous avez divulguées, faites aussitôt opposition, informez votre chargé d’affaires et surveillez vos comptes.

5. Si vous constatez des débits frauduleux ou en cas d’usurpation d’identité, déposez plainte.