Comment puis-je identifier un site Web ou un courriel d’hameçonnage?

  • Mis en ligne par Sécurité Yahoo

Qu’est-ce que l’hameçonnage?

Des fraudeurs envoient de faux courriels ou créent de faux sites Web qui imitent les pages de connexion de Yahoo! (ou d’autres entreprises de confiance, telles que PayPal ou eBay) pour vous amener par la ruse à leur dévoiler votre nom d’utilisateur et votre mot de passe. Cette pratique est parfois appelée « hameçonnage » — en référence à la pêche — parce que le fraudeur va à la « pêche » aux renseignements privés relatifs à votre compte. Habituellement, les fraudeurs tentent de vous tromper afin que vous leur donniez votre nom d’utilisateur et votre mot de passe, pour qu'ainsi, ils puissent accéder à un compte d’utilisateur en ligne. Une fois l’accès obtenu, ils peuvent utiliser vos données personnelles pour commettre un vol d’identité, porter des frais à vos cartes de crédit, vider vos comptes bancaires, lire vos courriels et vous empêcher d'accéder à votre compte en ligne en modifiant votre mot de passe.

Si vous recevez un courriel (ou un message instantané) d’une personne que vous ne connaissez pas, et qui vous demande de vous connecter à un site Web, faites preuve de prudence! Vous pouvez avoir reçu un courriel d’hameçonnage contenant des liens vers un site Web d’hameçonnage. Un site Web d’hameçonnage (parfois appelé site « factice » ) tente de voler le mot de passe de votre compte ou d’autres renseignements confidentiels en vous faisant croire que vous êtes sur un site Web légitime. Vous pourriez même arriver sur un site d’hameçonnage en faisant une faute lors de la saisie d’une URL (adresse Web).

Ce site Web est-il légitime? Ne vous laissez pas berner par un site qui semble réel. Les hameçonneurs peuvent facilement créer des sites Web qui ressemblent à des vrais, ce qui inclut le logo et le graphisme d’un site de confiance.

Important : si vous avez le moindre doute sur un site Web, ne vous y connectez pas. La chose la plus sûre à faire est de fermer et de rouvrir votre navigateur, puis de saisir l’URL dans la barre d’adresse. Saisir l’URL appropriée est la meilleure façon de s'assurer de ne pas être redirigé vers un site factice.

Signes indiquant que vous avez éventuellement reçu un courriel d’hameçonnage :

Si vous recevez un courriel d’un site Web ou d’une entreprise qui vous presse de donner des renseignements confidentiels, tels qu’un mot de passe ou un numéro d'assurance sociale, il se peut que vous soyez la cible d’une escroquerie par hameçonnage. Les conseils ci-dessous peuvent vous éviter de vous faire duper par des hameçonneurs.

Adresse non officielle dans le champ « De ».Faites attention à l’adresse de courriel d’un expéditeur qui ressemble, mais n’est pas identique, à l’adresse officielle d’une entreprise. Les fraudeurs s’inscrivent souvent à des comptes de courriels gratuits comportant des noms d’entreprises (comme « ypetiteentreprise@yahoo.com »). Ces adresses de courriel sont destinées à vous duper. Un courriel officiel de Yahoo provient toujours d’une adresse de courriel « @yahoo-inc.com ».

Action urgente requise. Les fraudeurs incluent souvent des « appels à l’action » urgents pour tenter de vous faire réagir immédiatement. Méfiez-vous des courriels contenant des énoncés tels que « votre compte sera fermé », « votre compte a été compromis » ou « action urgente requise ». Le fraudeur profite de votre inquiétude pour vous amener par la ruse à donner des renseignements confidentiels.

Salutations générales.Les fraudeurs envoient souvent des milliers de courriels d’hameçonnage à la fois. Ils peuvent disposer de votre adresse de courriel, mais rarement de votre nom. Méfiez-vous d’un courriel envoyé avec des salutations générales telles que « Cher client » ou « Cher membre ».

Lien vers un faux site Web.Pour vous amener par la ruse à dévoiler votre nom d’utilisateur et votre mot de passe, les fraudeurs incluent souvent un lien vers un faux site Web qui ressemble (parfois parfaitement) à la page de connexion d’un site Web légitime. Qu’un site comporte le logo d’une entreprise ou ressemble à la page réelle ne signifie pas qu’il le soit pour autant! Les logos et l’apparence des sites Web légitimes sont faciles à copier. Dans le courriel, faites attention aux :

  • liens contenant un nom d’entreprise officiel, mais au mauvais endroit. Par exemple : « https://www.yahoo.com » est une fausse adresse, qui ne mène pas à un vrai site Web de Yahoo. Une véritable adresse Web de Yahoo contient une barre oblique (« / ») après « yahoo.com » — par exemple, « https://www.yahoo.com/ » ou « https://login.yahoo.com/ ».

Liens légitimes mélangés à de faux liens.Parfois, les fraudeurs intègrent des liens authentiques dans leurs pages factices, comme les véritables pages relatives à la protection de la vie privée et aux conditions d’utilisation du site qu’ils imitent. Ces liens authentiques sont mélangés à des liens vers un faux site Web d’hameçonnage afin que le site factice paraisse encore plus réaliste.

  • Recherchez également les autres indices signalant qu’un courriel pourrait ne pas être fiable :
  • Fautes d’orthographe, de grammaire ou graphisme de mauvaise qualité.
  • Demandes de données personnelles, telles que votre mot de passe, numéro d'assurance sociale, de compte bancaire ou de carte de crédit. Les entreprises légitimes ne vous demanderont jamais de vérifier ou de fournir des renseignements confidentiels dans un courriel non sollicité.
  • Pièces jointes (elles peuvent contenir des virus ou des enregistreurs de frappe qui enregistrent ce que vous saisissez).

Signes indiquant que vous vous trouvez éventuellement sur un site d’hameçonnage :

Les hameçonneurs conçoivent leurs faux sites Web d’une manière de plus en plus sophistiquée. Suivez ces étapes si vous pensez avoir été hameçonné. Il n’existe pas de façon infaillible de savoir si vous êtes sur un site d’hameçonnage, mais voici quelques astuces pouvant vous aider à distinguer un vrai site Web d’un site d’hameçonnage :

Vérifiez l’adresse Web. Ne supposez pas que vous vous trouvez sur un site légitime juste parce que l’adresse vous paraît bonne. Dans la barre d’adresse de votre navigateur, recherchez la présence de signes indiquant que vous vous trouvez éventuellement sur un site d’hameçonnage : 

  • Nom d’entreprise incorrect. L’adresse Web d’un site d’hameçonnage semble souvent correcte, mais elle contient, en fait, une faute d’orthographe commune dans le nom de l’entreprise ou un caractère, un symbole placé avant ou après le nom de l’entreprise. Recherchez les pièges comme le remplacement de la lettre « l » par le chiffre « 1 » dans une adresse Web (par exemple, www.paypa1.com au lieu de www.paypal.com).
  • « http:// » au début de l’adresse des pages de connexion de Yahoo. L’adresse d’une page de connexion au site légitime de Yahoo commence par « https:// » ― la lettre « s » doit être incluse. Alors vérifiez l’adresse du site Web pour toutes les pages de connexion de Yahoo.
  • Barre oblique manquante. Pour vous assurer que vous vous trouvez sur un site Yahoo légitime, assurez-vous qu’une barre oblique ( / ) apparaît après « yahoo.com » dans la barre d’adresse. Par exemple, « https://www.yahoo.com » est une fausse adresse du site Web.

Méfiez-vous des fenêtres contextuelles. Faites attention si vous êtes dirigé vers un site Web qui affiche immédiatement une fenêtre contextuelle vous demandant de saisir votre nom d’utilisateur et votre mot de passe. Les escroqueries par hameçonnage peuvent vous diriger vers un site Web légitime, puis utiliser une fenêtre contextuelle pour obtenir vos données compte.

Donnez un faux mot de passe. Si vous doutez de l’authenticité d’un site, n’utilisez pas votre vrai mot de passe pour vous connecter. Si vous saisissez un faux mot de passe, puis paraissez connecté, vous êtes vraisemblablement sur un site d’hameçonnage. Ne saisissez plus aucun renseignement; fermez votre navigateur. N’oubliez pas, cependant, que certains sites d’hameçonnage affichent automatiquement un message d’erreur, quel que soit le mot de passe saisi. Alors, ne supposez pas que le site est légitime juste parce que votre faux mot de passe a été rejeté.

Utilisez un navigateur Web doté d’une détection antihameçonnage. Internet Explorer, Mozilla Firefox et de nombreux navigateurs Web disposent de modules complémentaires gratuits (ou de « plug-ins ») qui peuvent vous aider à détecter les sites d’hameçonnage.

Méfiez-vous des autres méthodes visant à identifier un site légitime. Certaines méthodes utilisées pour indiquer un site sécurisé ne sont pas toujours fiables. Une petite clé non brisée ou un petit cadenas verrouillé situé à gauche de la barre d’adresse de votre navigateur ne constitue pas un indicateur fiable d’un site Web légitime. Ne supposez pas que le site est légitime juste parce qu’il y a une clé ou un cadenas, et que le certificat de sécurité paraît authentique.