Pour piéger les internautes, les pirates disposent d’une multitude de tactiques différentes. Ils peuvent notamment se faire passer pour un conseiller bancaire, un prétendant amoureux à l’aide des deepfakes, ou encore service client d’une entreprise. Par ailleurs, les escrocs ont énormément de stratégies pour endormir la méfiance de leurs victimes et les pousser à agir dans l’urgence.
Ces tactiques bien rodées sont tellement bien ficelées qu’elles passent parfois inaperçues. Dans ces conditions, il n’est pas toujours facile d’éviter de tomber dans un piège… Pour vous protéger des escrocs, on vous recommande d’adopter les sept bonnes habitudes ci-dessous.
À lire aussi : Cyberattaques en France – les dernières fuites de données et entreprises touchées
Vérifiez l’URL et l’adresse mail : le diable est dans les détails
Armés d’outils reposant sur l’IA, les pirates sont désormais capables de mettre au point des messages complets et convaincants. Dans les mails ou les SMS de phishing, on ne trouve plus forcément de fautes d’orthographe grossières, d’approximations ou de tournures alambiquées. Avec l’intelligence artificielle, n’importe quel escroc peut écrire dans un français parfait.
« Il y a quelques années encore, les ressources de phishing étaient génériques, sans aucun style, et truffées d’erreurs, les rendant facilement identifiables. Cette époque est révolue : les grands modèles de langage (LLM) permettent désormais aux attaquants de créer des messages et des pages personnalisés crédibles, avec une grammaire et une structure correctes. Avec les LLM, il est même devenu possible d‘imiter le style de personnes précises », explique Kaspersky à 01Net.
Pour déceler une supercherie, il faut donc se pencher sur les détails de leurs communications. Citons tout d’abord l’adresse mail. Dans la plupart des cas, les pirates communiquent avec leur cible en se servant d’une adresse qui se rapproche d’une adresse officielle. Par exemple, ils vont choisir une adresse qui utilise des mots contenant des fautes de frappe. Il s’agit bien souvent d’une lettre en plus ou en moins, afin de passer inaperçu si vous jetez un simple coup d’œil.
« Vérifiez l’adresse de l’expéditeur : contactez-le par un autre canal ou regardez l’adresse d’expédition. Un organisme officiel aura presque systématiquement une adresse de type “[email protected]” », explique le Ministére de l’Intérieur sur son site web.
Parfois, les pirates ne s’embarrassent pas d’adresse qui se rapproche d’une adresse officielle. Certains des mails de phishing que nous avons reçu sont en effet envoyés par des adresses improbables, composée d’une succession aléatoire de chiffres et de lettres. C’est un signe facile à repérer que vous êtes dans le viseur d’un escroc.
« Dans certains cas, il s’agit du seul signe d’une escroquerie, car l’aspect de l’email et son contenu peuvent sembler convaincants », explique ESET France sur son site web.
De même, les cybercriminels peuvent vous partager des liens vers des sites web malveillants. Dans ce cas de figure, il est important de consulter l’URL. De la même manière, l’URL peut être très proche de l’adresse d’un site officiel. Il est peut-être très proche de celui de votre banque. Néanmoins, des éléments permettent de comprendre qu’il vient d’une adresse frauduleuse.
« Avant de renseigner des informations personnelles ou d’effectuer un paiement, vérifiez la légitimité du site web. Vérifiez l’URL, recherchez des avis d’autres clients et assurez-vous que le site est sécurisé par la mention “https” », recommande Avast.
Faites des recherches en ligne
Avant d’accorder votre confiance à un interlocuteur inconnu, prenez le temps de faire quelques recherches sur la toile. Rien ne vous oblige jamais à répondre dans l’urgence à une demande, même si votre interlocuteur vous met la pression. Au lieu de prendre une décision à la hâte, ce qui arrangerait bien les cybercriminels, prenez du recul. Seul ou avec l’aide d’un proche, comparez les informations fournies par le pirate avec les données visibles en ligne.
« Méfiez-vous des courriels, textes ou appels non sollicités, en particulier s’ils vous suggèrent d’entreprendre une action “urgente” ou de demander un paiement », conseille Proofpoint.
« Ne répondez pas à un email qui utilise une formulation telle que : “ Si vous ne répondez pas dans les 48 heures, votre compte sera annulé ” ou ” Si vous ne répondez pas, votre compte sera automatiquement désactivé “», résume ESET France.
Si un conseiller bancaire vous a contacté, faites une recherche sur le site de la banque. Vérifiez si le numéro que vous a appelé est bien référencé, de même que l’adresse mail. Si vous n’arrivez à rien, prenez votre téléphone et prenez directement contact avec l’organisme pour en avoir le cœur net.
« Ne communiquez jamais de données financières ou de mots de passe par courrier électronique ou par SMS. Appelez toujours votre banque directement si une demande vous semble suspecte », ajoute Proofpoint.
Si un escroc vous réclame un virement sur MoneyGram ou Western Union, faites des recherches sur ces moyens de paiements, assortis des mots utilisés par le pirate dans ses messages. En clair, tapez tout sur Internet, même les explications ou les noms communiqués par le truand. De cette manière, vous pourriez tomber sur des sites mentionnant les arnaques de ce genre. C’est une bonne méthode pour déceler les supercheries et éviter de vous faire avoir.
« Demandez à l’interlocuteur une adresse mail et un numéro de téléphone pour pouvoir le contacter et s’assurer de son sérieux. Vérifiez dans un moteur de recherche si les numéros de téléphone et adresses mail fournis ont déjà été associés à des escroqueries », conseille Cybermalveillance, le dispositif gouvernemental qui aide les particuliers, entreprises et collectivités à se protéger contre les menaces, sur son site.
A lire aussi : Arnaque sur Leboncoin – un escroc a disparu avec plus de 1,5 million d’euros
Ne rappelez jamais… jamais !
Certaines arnaques reposent sur des numéros surtaxés. Il s’agit des “ping call” ou “call back”, des arnaques téléphoniques visant à inciter les victimes à rappeler un numéro surtaxé. L’escroc passe un appel bref qui coupe immédiatement ou après une seule sonnerie, sans laisser de message vocal. Si la victime rappelle, elle tombe sur une boîte vocale facturée à la minute. Évidemment, de nombreuses personnes, intriguées par l’appel, ont très envie de rappeler le numéro pour savoir de quoi il retourne.
« Si des messages énigmatiques reçus sur votre boîte vocale ou par SMS vous demandent de recontacter un pseudo transporteur « pour votre livraison » ou un service après-vente (SAV) « suite à votre achat » ou encore vous proposent une promotion « immanquable », préférez rappeler le numéro officiel du commerçant, du transporteur ou du SAV concerné que vous trouverez sur son site officiel », relate Cybermalveillance.
C’est pourquoi on vous recommande vivement de ne jamais rappeler un numéro que vous ne connaissez pas. S’il s’agit vraiment d’une communication urgente, votre interlocuteur ne manquera pas de laisser un numéro, ou de rappeler. Par ailleurs, n’hésitez pas à vous servir d’une application qui va analyser vos appels pour détecter les tentatives de communication frauduleuses. C’est le cas d’Orange Téléphone par exemple. Ensuite, prenez le temps de bloquer systématiquement tous les numéros qui vous appellent dans l’espoir de vous relayer sur un numéro surtaxé.
À lire aussi : comment bloquer des plages de numéros indésirables liées au démarchage commercial ?
Restez ferme avec votre interlocuteur
Dans la mesure où vous échangez avec un(e) inconnu(e) sur une app de rencontre ou un réseau social, fixez-vous des limites claires et indéfectibles. Par exemple, n’acceptez jamais d’envoyer de l’argent, peu importe le motif ou les explications de votre prétendant(e). Par ailleurs, ne communiquez pas d’informations personnelles, même des données qui vous paraissent anodines, tant que vous n’avez pas pu confirmer l’identité de la personne avec qui vous parlez.
Attention, les escrocs peuvent vous fournir une multitude preuves pour vous convaincre. Avec les deepfakes, ils peuvent réaliser des photomontages, voire de passer des appels vidéo qui semblent convaincants. Dans ces conditions, vous devez rester ferme, et ne jamais plier. Si vous restez inflexible, l’escroc se retrouve face à un mur… Par ailleurs, plus une personne s’évertue à vous convaincre, plus vous devez vous interroger sur ses motivations.
Combattre l’IA par l’IA
Les pirates ont massivement adopté l’intelligence artificielle pour les aider dans leurs méfaits. En tant que cible potentielle, vous pouvez vous servir de l’IA pour identifier les escroqueries et combattre le feu par le feu. On vous conseille par exemple de passer par des solutions comme Scamio de Bitdfender. Ce chatbot est programmé pour identifier les escroqueries. Il suffit de lui fournir le message reçu pour qu’il l’analyse.
Plus globalement, n’hésitez pas à vous servir de ChatGPT, Google Gemini ou encore de Perplexity pour analyser les messages des escrocs ou trouver une faille dans une communication. Ces modèles ont été entrainés sur des montagnes de données, comprenant notamment des informations sur les arnaques les plus répandues. Ne vous fiez pas aveuglément à l’avis d’un chatbot, mais c’est parfois une bonne base pour déceler un piège. Pour confirmer les doutes que vous pouvez avoir, vous pouvez aussi vous rendre sur le site de Cybermalveillance, qui propose un outil de diagnostic qui permet de déceler les escroqueries.
Choisir un bon mot de passe
Sans grande surprise, on vous recommande aussi d’opter pour un mot de passe bien sécurisé. Proofpoint conseille de choisir « trois mots aléatoires pour créer un mot de passe fort et mémorable ». Attention, ne commettez pas l’erreur de recycler le même mot de passe pour sécuriser plusieurs sites. Il faut choisir un mot de passe totalement différent pour tous les sites auxquels vous vous connectez.
Dans la même optique, n’omettez pas d’activer la double authentification sur tous vos comptes. Cette mesure de sécurité, très rapide à mettre en place, va barrer la route de la plupart des pirates en exigeant un code d’authentification supplémentaire, en plus du mot de passe.
À lire aussi : Double authentification – pourquoi il faut s’y mettre et comment
Prévenez votre banque de toute urgence
Enfin, si vous êtes tombé dans le piège d’un escroc, ne tardez pas à prévenir votre banque. Si celui-ci a réalisé des prélèvements frauduleux, à la suite du vol de vos coordonnées bancaires par exemple, vous allez pouvoir exiger un remboursement. En effet, la loi oblige les banques à rembourser les victimes d’un prélèvement frauduleux dans un délai de 24 heures. La banque ne doit pas attendre la fin d’une enquête pour prouver les dires de la victime. Par contre, c’est uniquement valable pour les réclamations concernant des fraudes survenues dans les douze mois auparavant. Si vous laissez passer trop de temps, la banque ne sera pas obligée de vous rembourser. C’est pourquoi vous devez garder un œil constant sur votre compte, consulter vos relevés et rapporter la moindre irrégularité.
En adoptant ces sept réflexes, vous devriez pouvoir vous prémunir contre la plupart des attaques informatiques et autres arnaques en ligne. Comme l’explique Siggi Stefnisson, directeur de la technologie chez Gen, « il ne suffit plus de protéger uniquement nos appareils ; nous devons protéger chaque individu contre toutes les formes de manipulation en ligne visant à voler des informations personnelles ou à propager des logiciels malveillants ». Tout est entre vos mains.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
