La fraude sur Internet pour les nuls : conseils pratiques pour vous protéger contre la fraude sur le Net

La fraude sur Internet existe pratiquement depuis les premiers jours d’internet. Chaque année, des auteurs malveillants mettent au point de nouvelles techniques et de nouvelles tactiques destinées à tromper leurs victimes potentielles.

Une particularité différencie la fraude sur Internet des autres menaces du Net telles que les virus, les chevaux de Troie, les logiciels espions, les intercepteurs de SMS, les pollupostages, etc.: c’est un individu réel — et non un ordinateur — qui tire les fils du stratagème. Les auteurs malveillants ont donc aussi des points faibles. Il s’ensuit, d’une part, qu’aucun programme ne peut offrir une protection à 100 %, mais aussi, d’autre part, que les utilisateurs eux-mêmes doivent adopter une attitude proactive afin d’assurer leur propre sécurité en ligne.

Ce n’est pas la première fois que nous abordons les aspects techniques et les procédés caractéristiques des fraudes mises au point par des cyber-délinquants (voir notre précédent article). Il est vrai que ce genre d’information ne suffit pas. Dans cet article, nous examinons les différents types de fraude et présenterons quelques règles simples qui pourront servir à éviter bon nombre de pièges sur Internet.

Les différents types de fraude

Hameçonnage ou « phishing »

Les courriels d’hameçonnage sont de faux messages censés provenir de banques, de systèmes de paiement en ligne, de fournisseurs de messagerie, de sites de réseaux sociaux, de jeux en ligne, etc. Le but de ces messages est de récupérer des identifiants confidentiels : nom d’utilisateur, mot de passe, etc. L’hameçonnage bancaire compte parmi les tactiques les plus courantes, et cherche à accéder à un compte bancaire en ligne ou à des moyens de paiement électroniques. Quand un cyber-délinquant parvient à récupérer les identifiants d’un utilisateur, il a libre accès à tous ses comptes.

Comment identifier un hameçonnage

Exemple 1. Vous recevez le message d’une banque, d’un système de paiement électronique ou d’un fournisseur de messagerie. Si vous n’êtes pas abonné au service en question, alors le message est manifestement frauduleux : contentez-vous de le supprimer.

Autre moyen simple de distinguer un faux message d’un autre authentique : survolez le lien avec la souris. Dans la partie inférieure gauche du navigateur, vous pourrez lire la véritable adresse URL du site sur lequel vous allez être dirigé. Regardez attentivement : les deux derniers niveaux du nom de domaine (c’est à dire la portion d’adresse qui précède immédiatement la barre oblique) doivent appartenir à l’entreprise censée vous envoyer le courrier électronique.

Par exemple, les courriels de PayPal contiennent un lien comme celui-ci :
http://anything.paypal.com/anything

En revanche son frauduleux des liens comme les suivants, et tous ceux qui contiennent autre chose que « paypal.com » immédiatement devant la barre oblique.

http://paypal.confirmation.com/anything,
http://anything.pay-pal.com/anything,
http://anything.paypal.com.anything.com/anything

Au moindre doute, ouvrez manuellement le site officiel. N’utilisez pas le lien proposé dans le message mais au contraire tapez l’adresse officielle du site directement dans le navigateur. Cette façon de faire garantit votre sécurité, vous évite d’ouvrir un site frauduleux et vous pourrez alors vérifier les informations souhaitées sur le site authentique.

Hameçonnage : le cas des réseaux sociaux

Possédez-vous un compte sur Facebook, Twitter, Orkut, LinkedIn ou n’importe quel autre réseau social ? Si c’est le cas, vous savez déjà à quoi ressemblent leurs messages authentiques.

Ceci étant, de faux messages peuvent les reproduire presque exactement. Ces courriels frauduleux sont conçus pour s’approprier de vos identifiants, pour accéder à votre compte sur le réseau social. Le procédé d’hameçonnage utilisé est semblable à celui déjà décrit pour les banques : une notification du site de réseautage vous apprend que quelqu’un vous a laissé un message ou souhaite vous ajouter à sa liste d’amis, ou bien encore, que vous devez mettre à jour les informations de votre compte. Si vous cliquez sur le lien proposé, au lieu d’ouvrir le site officiel, vous êtes en fait redirigé sur un site contrefait, identique au modèle original. Aussitôt que vous aurez introduit vos identifiants, ceux-ci seront transmis aux escrocs, puis vous serez renvoyé à nouveau sur le site authentique.

Les faux messages des réseaux sociaux ne vous invitent pas toujours à saisir vos identifiants — c’est le message qui ressemble à l’original, à l’exception des liens proposés. Examinez de près l’adresse réelle du site que le message vous invite à ouvrir. Le plus souvent, les escrocs utilisent des noms de site frauduleux qui sont très proches de l’original, par exemple : http://fasebook.com/, au lieu de span style=’color: blue; text-decoration: underline;’>http://fasebook.com/

Hameçonnage : le cas des jeux en ligne

Même s’ils sont gratuits, les jeux en ligne offrent souvent des options payantes : des engins ou articles spécialisés, un avatar plus original ou des bonus supplémentaires. Partout où l’argent est utilisé, vous pouvez être sûr que la fraude n’est pas loin derrière. Le procédé est assez standard : il s’agit de tromper des utilisateurs pour qu’ils visitent un site Web contrefait. Comme pour les autres types d’hameçonnage, l’adresse du site frauduleux peut ressembler beaucoup à celle du site authentique.

La meilleure protection — valable pour tous les genres d’hameçonnage — est de ne jamais cliquer sur un lien ni saisir vos identifiants personnels. En revanche, vous pouvez toujours visiter le site officiel, en contournant ainsi le risque d’avoir affaire à un lien frauduleux.