Comment éviter les arnaques sur Internet et ne pas en devenir victime. Partie 1
17 sept. 2024 | Jindřich Zechmeister
Sur Internet, le risque de fraude est omniprésent, et il est difficile de faire confiance à qui que ce soit ou à quoi que ce soit. L'argent est souvent la principale cible, c'est pourquoi les attaquants le convoitent particulièrement. Cet article vous aidera à détecter, comprendre et gérer ces menaces, tout en vous montrant comment adopter un comportement sécurisé dans l'environnement en ligne.
Quels sont les différents types de fraudes
Sur Internet, vous êtes principalement exposé à deux types de menaces : le phishing (ou « hameçonnage » en français) et les fraudes sur les réseaux sociaux. Examinons-les de plus près.
Le phishing est une arnaque où l'attaquant tente de subtiliser des données sensibles à la victime par ruse. Il peut prendre différentes formes, mais a toujours le même objectif : obtenir vos identifiants ou votre argent. Il est souvent associé à du chantage, permettant à l'attaquant de bénéficier de revenus réguliers.
La forme du phishing est conçue de manière à paraître authentique pour que la victime s'y laisse prendre. Les attaquants créent des copies presque parfaites des pages de connexion légitimes. Une fois que vous saisissez vos informations, elles sont compromises. Les liens vers ces sites frauduleux sont diffusés par de faux e-mails, messages ou liens imitant des institutions et services connus. Aujourd'hui, tout le monde reçoit régulièrement de faux SMS prétendant provenir de livreurs comme PPL, DPD ou La Poste. Il est facile de se laisser piéger, surtout si vous attendez une livraison. Si quelque chose vous paraît étrange lors de la connexion, ou si un détail semble différent ou suspect, il vaut mieux ne pas poursuivre.
Les fraudes sur les réseaux sociaux et les sites de rencontres prennent la forme de faux profils, d'arnaques dites "romantiques" ou de faux concours. L'objectif est généralement de gagner la confiance de la victime pour ensuite lui soutirer de l'argent. Ne cliquez jamais sur les liens que vous recevez dans un chat, surtout s'ils proviennent de contacts inconnus.
En plus des risques mentionnés ci-dessus, évoquons d'autres méthodes de fraude utilisées :
- Faux e-shops : Il existe des boutiques en ligne suspectes qui proposent des prix irréalistes, mais qui ne livrent jamais la marchandise commandée. Sur les sites de petites annonces, il est également fréquent de trouver des annonces exigeant un paiement à l'avance sans livraison.
- Offres d'emploi frauduleuses : Des offres de travail à domicile promettant des revenus irréalistes, dans le but d'exploiter vos données personnelles. Ces arnaques devraient être faciles à repérer.
- Ransomware et chantage : Un attaquant crypte vos données et exige une rançon pour les déverrouiller, ou vous fait chanter via une arnaque de type sextorsion.
- Propagation de malware : Les attaquants vous proposent des logiciels malveillants déguisés en fichiers ou applications légitimes. Souvent, le malware se présente sous forme d'antivirus ou d'outil urgent dont vous êtes censé avoir besoin.
Comment reconnaître les fraudeurs et les activités frauduleuses
La défense contre les risques mentionnés est une question de bon sens. Il suffit de réaliser l'improbabilité de gagner à une loterie étrangère ou l'absurdité qu'une personne souhaite vous envoyer des millions de dollars depuis le Nigéria. Il est également peu probable qu'un contact anonyme vous écrivant sur Facebook soit votre amour de toujours. Une approche critique et une bonne dose de scepticisme vous permettront de résister à de nombreuses menaces. Devenir riche du jour au lendemain, rajeunir miraculeusement, recevoir des cadeaux offerts gratuitement...
« N'oubliez pas la règle d'or : toute personne qui veut mon bien (ou qui m'offre quelque chose gratuitement) est suspecte. »
Les messages frauduleux créent souvent un sentiment d'urgence, vous mettant sous pression pour que vous ne preniez pas le temps de réfléchir. Soyez prudent dans de telles situations et vérifiez toujours la source. Une forme similaire apparaît dans les offres limitées dans le temps ou les e-mails prétendent que votre compte va expirer, nécessitant un clic immédiat, une réinitialisation ou un changement de mot de passe. Visitez toujours les pages d'accès en saisissant directement leur adresse, ne cliquez sur aucun lien. Les liens menant à une connexion doivent être fermés comme suspects.
Le plus pressant et personnel est ce qu'on appelle le scam de sextorsion. L'attaquant vous envoie un e-mail semblant provenir de votre propre adresse e-mail, censé prouver qu'il a accédé à votre ordinateur ou à votre boîte mail. En réalité, il s'agit simplement d'une usurpation de l'adresse de l'expéditeur, un problème qui devrait être résolu par le DMARC (devrait gérer votre fournisseur de messagerie). L'attaquant vous a filmé en train de vous masturber et qu'il vous fait chanter en menaçant de publier cette vidéo si vous ne payez pas. C'est bien sûr un mensonge et une tentative de chantage. Une fois que vous y réagissez et payez quelque chose, le chantage ne fait que commencer et ne finit jamais.
Une autre variante de l'attaque, souvent dirigée contre les organisations, consiste à pénétrer dans le réseau et à crypter les données de la victime. Pour y avoir de nouveau accès, l'attaquant demande une rançon. Là encore, ne payez jamais les racketteurs. Faites plutôt appel à des experts en informatique, qui pourraient disposer d'outils pour décrypter vos données ou récupérer une sauvegarde.
« Si quelqu'un tente de vous faire chanter, ne payez jamais. Sinon, il continuera et vous extorquera sans cesse. »
Partout en Europe, plusieurs vagues de phishing, d’"exécutions" judiciaires fictives et d’envoi de fausses factures ont eu lieu par le passé. Pour les entreprises et les particuliers, c’était inattendu, mais l’association avec un huissier était si provocatrice que beaucoup ont pris ces menaces au sérieux. Les fausses factures misent sur le fait que personne ne prendra le temps de les vérifier, et que les paiements seront effectués automatiquement. Les codes QR liés aux paiements et aux factures sont également des vecteurs d'attaque populaires. Il suffit de remplacer le code QR sur une facture par un faux pour que l'argent se retrouve sur le compte de l'attaquant. C’est pourquoi il est recommandé d’envoyer les factures sous forme signée électroniquement (PDF) – la signature garantit leur inaltérabilité.
Il existe de nombreux sites frauduleux sur Internet, conçus pour collecter des informations de connexion, comme mentionné dans les premiers paragraphs. Ne cliquez donc jamais sur les liens dans des messages non sollicités ou suspects. Si vous êtes sur la page de connexion d'une banque ou d'un service, nous recommandons de prêter attention au domaine dans la barre d'adresse (il peut être falsifié) et de vérifier le certificat TLS du site. Toute institution sérieuse utilise un certificat avec des informations vérifiées que vous pouvez consulter. Les attaquants, quant à eux, utilisent des certificats anonymes, car ils ne pourraient en obtenir d'autres. Les détails du certificat se trouvent dans la console du navigateur en appuyant sur F12 (onglet Sécurité).
Notre prochain article, deuxième partie, se concentrera sur la prévention : comment se prémunir contre les risques sur Internet.