E-mails, SMS, messages WhatsApp ou posts Facebook de marques ou d'entreprises de confiance qui vous racontent une histoire trop belle pour être vraie... Le phishing n'a rien de nouveau. Les escrocs l'utilisent encore très souvent et trouvent toujours de nouvelles techniques – et de nouveaux canaux de communication – pour piéger les consommateurs.
Des messages frauduleux circulent aussi plus fréquemment au nom des compagnies d'assurances : e-mails, concours sur Facebook... Alors, dans tous ces messages, comment faire le tri entre le vrai et le faux ? Quels signaux doivent vous alerter ? Lisez ces quelques conseils pour éviter de tomber dans le piège.
À quoi reconnaît-on une tentative de phishing ?
- Les fraudeurs se font passer pour une personne ou une organisation que vous connaissez bien et en qui vous avez confiance. Il peut s'agir de votre banque, de votre fournisseur d'énergie, d'un service public, mais aussi de votre compagnie d'assurances.
- Ils jouent sur la précipitation : vous devez agir vite si vous ne voulez pas passer à côté de cet argent ou de cette offre incroyable.
- Les escrocs misent parfois sur la peur : votre sécurité est en jeu et vous devez agir.
- Ils vous plongent dans un scénario un peu trop idyllique : vous avez droit à une somme d'argent, vous avez gagné un prix incroyable ou vous bénéficiez d'une opportunité d'investissement unique qui peut rapporter beaucoup et très vite.
- Le langage utilisé est parfois un peu inhabituel pour l'expéditeur. On constate souvent des irrégularités dans l'adresse e-mail.
- Les messages frauduleux contiennent toujours un lien. Ce lien vous renvoie généralement vers un faux site web où vous devez indiquer vos données personnelles (mots de passe, coordonnées bancaires...).
- Les escrocs utilisent aussi souvent de faux QR codes (« quishing ») pour pirater des données. Faites preuve de vigilance si vous tombez sur un QR code dans vos e-mails ou ailleurs : vérifiez la source et examinez le message (est-il trop idyllique, devez-vous y répondre rapidement ?).
« Cliquez sur ce lien » : bonne ou mauvaise idée ?
Quand un message de votre assureur est-il réel ? Quand est-ce une arnaque ? Les signaux d'alerte ci-dessus vous aideront à répondre à toutes ces questions, mais le lien figurant dans le message contient lui aussi des indices.
Pour savoir si un lien dans une communication est digne de confiance, il faut savoir :
- comment lire le lien ;
- comment reconnaître un lien frauduleux.
1. Comment lire un lien ?
- Dans un message texte ou Whatsapp, c'est facile : il suffit de lire le lien du site web dans le message proprement dit. Méfiez-vous des liens raccourcis tels que bit.ly/xyz : ils masquent le site web vers lequel le lien vous renvoie, peut-être délibérément. Dans ce cas, examinez d'un œil très critique la communication proprement dite.
- Pour les e-mails, c'est un peu moins évident : vous verrez un bouton du type « Cliquez ici » ou « Obtenez votre prime sans attendre » et vous ne pourrez donc pas lire l'URL. Positionnez le curseur de la souris sur le bouton et maintenez-le à cet endroit, sans cliquer. Vous verrez alors apparaître l'URL du site web. Pour les e-mails que vous lisez sur votre smartphone : placez simplement votre doigt sur le bouton et maintenez-le enfoncé pendant un moment pour afficher l'URL.
Il est plus prudent de lire le lien avant de cliquer dessus. Si cela ne fonctionne pas, vous pouvez toujours vérifier le lien dans la barre de navigation de votre navigateur Internet.
2. Comment reconnaître un faux lien ?
Pour en avoir le cœur net, vous devez connaître la véritable adresse web ou le nom de domaine. Nous vous expliquons comment :
- Une adresse web commence généralement par « https:// » et se termine par « .be », mais aussi par « .net », « .com », « .fr », « .site », « .eu », « .org », etc.
- L'adresse réelle ou le nom de domaine se trouve entre « https:// » et le premier « / » qui suit. À partir de cette barre oblique, revenez deux points en arrière et commencez à lire à cet endroit. Exemple : dans « https://www.exemple.be/abc », le véritable nom de domaine est « exemple.be ».
Il n'y a pas de barre oblique après « https:// » ? Il suffit alors de partir de la fin de l'URL et de revenir deux points en arrière également.
- Autre exemple : le site de l'assureur fictif « XYZ Assurances » est « https://www.xyzassurances.be ». Le nom de domaine est donc « xyzassurances.be ». Normal : après tout, c'est le nom de la compagnie. Supposons que le lien dans votre e-mail soit « https://www.xy.zassurances.be »... Le nom de domaine est « zassurances.be » : il ne s'agit donc pas d'un site web légitime, mais d'une tentative de phishing. Les deux sites sont très similaires. Redoublez donc de vigilance.
Quelques conseils de sécurité supplémentaires
- Ne vous contentez jamais de cliquer sur un lien : vérifiez et examinez.
- N'introduisez vos mots de passe, vos codes bancaires ou des données personnelles que si vous avez la certitude absolue de vous trouver dans un environnement sécurisé.
- Ajoutez à vos favoris les sites que vous visitez régulièrement : votre courtier, votre banque, votre assureur, votre fournisseur d'énergie...
- Pour compliquer doublement la tâche des fraudeurs, optez pour la vérification en deux étapes : sécurisez vos propres comptes et apps en ajoutant un niveau de sécurité.
- Vous avez reçu un e-mail ou un message suspect ? Transmettez-le à suspect@safeonweb.be, puis supprimez-le.
Vous avez des doutes sur l'authenticité de certaines communications que vous recevez en notre nom ou de la part d'une compagnie d'assurances ? Contactez-nous, nous nous ferons un plaisir d'examiner la question avec vous.
Source : safeonweb.be
