Le harponnage: de l'hameçonnage ciblé avec des courriels frauduleux

Après l'hameçonnage est apparue une autre pratique frauduleuse sur le Web: le harponnage. On ne tente plus seulement de «pêcher une victime» en propageant un courriel ou des fichiers malveillants, on envoie des appâts personnalisés, on cible quelqu'un. On vous cible VOUS!

Les activités malhonnêtes sur le Web sont diversifiées et parfois difficilement identifiables. C'est le cas du harponnage, une sorte d'hameçonnage agressif qui consiste à tenter de prendre au piège une personne en particulier en utilisant ses informations personnelles pour gagner sa confiance.

Parfois, on tente de se faire passer pour une entreprise ou un service avec lequel vous avez peut-être déjà fait affaires, on envoie une facture par courriel adressé à votre nom avec des achats que vous n'avez pas faits et un lien sur lequel vous devez cliquer pour obtenir plus de détails.

Ce type de courriel a tellement l'air véridique que même un œil averti pourrait se faire prendre.

Le harponnage sur le Web

Le harponnage est de plus en plus répandu et les cas augmentent avec le nombre d'utilisateurs des réseaux sociaux, un lieu où il est facile d'obtenir des informations sur une personne. (En passant on dit bel et bien «le harponnage» et non «l'harponnage»;)

Les fraudeurs utilisent ces informations personnelles pour envoyer des courriels d'hameçonnage ciblés, avec des noms et adresses en affichant des logos et des signatures qui semblent officiels.

Le tout pour rediriger, par exemple, vers une copie du site d'une institution financière, où on copiera les numéros d'accès saisis afin d'accéder au compte et effectuer des virements bancaires pour prendre possession de l'argent qu'il contient. Les exemples sont multiples...

On pourrait croire que si on ne répond pas à ces courriels on ne court aucun risque... Détrompez-vous!

Parfois, il suffit de cliquer sur un lien qui, au lieu de rediriger vers une page, autorise le téléchargement d'un fichier pour se mettre dans l'embarras. Ce dernier peut contenir n'importe quoi: un virus, un logiciel d'espionnage, un cheval de Troie, un programme inconnu, etc.

C'est souvent si bien fait que même les personnes les plus prudentes risquent de tomber dans le panneau.

L'exemple d'une internaute

Voici un exemple de tentative de fraude par l'envoi d'un courriel de harponnage que nous a transmis une internaute. Il s'agit d'un faux message d'Apple incitant à cliquer sur un lien .zip pour consulter une facture reliée à l'achat d'un MacBook à 995,11 euros.

La personne en question a bel et bien un compte chez Apple, mais n'a jamais effectué cet achat:

Chère XZXZXZXZ,

Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.
suite à votre commande n°EO202608527 passée sur le site apple.com et expédiée. Nous vous transmettons la facture correspondante.
Vous trouverez votre facture 50522231823V en télérèglement concernant votre commande EO202608527 du 3 jan 2012 sur le lien suivant :

http://www.apple.com/clients/download/facture50522231823v.zip

Ce message confirme que vous avez acheté les articles suivants :
Apple - Macbook - Ordinateur portable 13" - Intel Core 2 Duo - 250 Go - RAM 2048 Mo - MacOS X 10.6 - Jusqu'à 10h d'utilisation - NVIDIA GeForce GT 320M - Blanc

Montant total de la commande : EUR 995,11
Infos livraison : Commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
---------------------------
Total HT : EUR 832,03
TVA : EUR 163,08
---------------------------
Montant total pour cette commande : EUR 995,11
Le montant à payer vous sera facturé à l'aide du moyen de paiement que vous avez choisis :

Nous avons le plaisir de vous informer que votre colis 6920829110901078 est prêt.
Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.

Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.
Vous pouvez bien entendu suivre votre commande via votre Espace clients.

Nous vous remercions de votre confiance.
Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement

Cordialement,
Votre Service Clients

Des indices révélateurs

Dès le départ, le fait de recevoir un courriel de confirmation pour un achat effectué sur le Web sans que vous ayez fait une telle transaction constitue un indice que quelque chose cloche. Surtout si le courriel contient plein de fautes d'orthographe...

Dans ce cas-ci, la présence d'un lien .zip est aussi un élément louche puisque le texte prétend diriger vers une page Web et non activer le téléchargement d'un fichier.

Le pire, c'est que dans le courriel original, lorsqu'on passe la souris sur ce lien, c'est une autre adresse que celle inscrite qui s'affiche. Il s'agit donc d'un «faux lien»: ce qui est affiché n'a rien à voir avec l'adresse où on sera dirigé en cliquant. Ce qui veut dire qu'on pourrait écrire n'importe quoi dans le lien pour gagner la confiance des gens. Par exemple, le lien pourrait bien s'appeler www.francoischarron.com et, en réalité, rediriger vers www.virusinformatique.com.

Il faut donc être vigilant avant de cliquer sur un lien dans un courriel malveillant, même si celui-ci semble sécuritaire.

D'ailleurs, pour savoir si on est réellement sur le bon site, il est bien de vérifier l'adresse au complet. Souvent, on regarde les premières lettres et si c'est écrit www.facebook on croit être sur le fameux site de réseautage.

Mais peu de gens savent que le plus important dans l'adresse d'un site est ce qui est écrit juste avant l'extension de l'adresse, juste avant le .com, .ca, .net, etc. Ce qui succède le triple w est en réalité un «sous-domaine», le nom d'une section d'un site Web. Une section dans laquelle il est parfois préférable de ne pas s'aventurer!

Lire aussi:
Courriel frauduleux: comment les reconnaître et se protéger

L'importance d'une suite de protection complète

C'est certain que la meilleure précaution demeure la vigilance. Par contre, une bonne suite de protection sonnera une alerte dès que quelque chose de louche est détecté. Plus qu'un simple antivirus, ça prend une suite de protection complète.

Avec un logiciel anti hameçonnage, ce genre de courriels ne devrait même pas se retrouver dans votre boîte de réception. Par contre, certaines arnaques sont tellement bien imaginées qu'elles passent à travers les filtres anti spam.

Dans ces cas, c'est l'antivirus qui prendra la relève et vous poussera à vous questionner avant de cliquer sur un lien ou de télécharger un fichier. Il n'éliminera pas les menaces, mais vous dira qu'il y a quelque chose de louche.

Même chose si un programme tente d'accéder à votre ordi sans votre autorisation, vous êtes alerté et votre appareil reste protégé.

Par contre, c'est à chaque utilisateur de prendre en considération ces avertissements. On peut choisir la prudence et ne pas aller plus loin ou ignorer les alertes et causer des dommages qui auraient facilement pu être évités.

Chronique sur les suites de protection et antivirus
Suggestion de logiciel anti-pourriel avec essai gratuit

[FACEBOOK]

Logiciels de sécurité

Ce VPN protège la connexion internet de nos appareils à plus petit prix

Maison

Cette lampe de chevet intelligente et amusante émerveillera petits et grands!

Économisez

Les rabais de François: promotions et offres technos de la semaine

Économisez

Rabais et promotions: meilleures offres de la semaine pour économiser sur les forfaits mobiles et cellulaires