E-mails et SMS de phishing – comment les reconnaître
Comme de gros hameçons dissimulés par de beaux appâts, les arnaques se cachent souvent derrière un habile prétexte visant à te dérober les informations de ta carte. D’où le nom de cette technique, l’hameçonnage ou phishing, ou encore smishing dans le cas des tentatives de fraude par SMS. Dans un cas comme dans l’autre, nous sommes là pour t’aider à te protéger. Nous allons donc te montrer ce à quoi ressemblent les tentatives de phishing et de smishing afin que tu ne te fasses pas avoir.
Avant d’aborder les exemples concrets de phishing, voici quelques points importants:
- Ils existent plusieurs mécanismes de sécurisation des paiements par carte. Il s’agit notamment du code PIN que tu dois composer pour effectuer un paiement en magasin et du code 3D Secure qui t’est envoyé par SMS pour autoriser tes paiements en ligne. Difficile, donc, d’effectuer des transactions frauduleuses.
- Ne communique les informations de ta carte (numéro de carte de paiement, numéro de sécurité à trois chiffres, date d’expiration) qu’à des e-commerçants fiables. Un indice (pas toujours garanti à 100%) d'un site sûr est le symbole du cadenas dans la barre d'adresse ou dans le navigateur. En revanche, des fautes d'orthographe et de grammaire ou un design étrange de la page peuvent indiquer que tu es sur un site frauduleux. Enfin, si tu n'es pas sûr·e, tu peux aussi te renseigner sur le commerçant en lisant des avis sur internet (par exemple sur réseaux sociaux).
- Vérifie les informations indiquées dans le SMS de 3D Secure qui comporte le code à usage unique permettant d’autoriser la transaction en ligne (montant, devise, nom de la boutique).
- En cas de doute ou si tu crains d'avoir saisi les données de ta carte sur un site douteux : bloque ta carte dans l'application (sous «Profil» et «Ta carte») et contacte-nous à l'adresse service_at_neon-free.ch ou appelle notre hotline au +41 43 508 03 76.
Pour savoir comment fonctionne le phishing en détail, ce que nous faisons pour toi et comment tu peux te protéger, tu peux lire ici.
«Votre colis est prêt à être retiré» – les e-mails frauduleux au nom de La Poste ou de DHL
Imaginons que tu reçoives un e-mail ou un SMS de La Poste. Celui-ci t’informe que le transport de ton colis a rencontré un problème et que tu dois payer 2,99 CHF. Lorsque tu cliques sur le lien, celui-ci te redirige vers une page de paiement où tu dois indiquer les coordonnées de ta carte.
Or, comme tu t’en doutes, ce n’est pas La Poste qui t’a envoyé cet e-mail, mais quelqu’un qui se fait passer pour elle. Pourtant, c’est à s’y méprendre! Belle technique! Il faut vraiment se pencher sur les détails pour commencer à voir des incohérences: l’adresse depuis laquelle l’e-mail a été envoyé (@sunrise.ch) ne correspond pas, par exemple, à La Poste Suisse SA. Mais parfois, ce genre de détail passe inaperçu. Les tentatives de hameçonnage par SMS suivent le même procédé: un message t’est envoyé soit-disant par DHL et comporte un lien vers une page où on t’invite à communiquer les coordonnées de ta carte.
«Ton compte Amazon est incomplet» – un e-mail de phishing au nom d'Amazon
Dans le cas d'Amazon, les fraudeurs falsifient les dossiers de sécurité. Par exemple, dans un tel courriel de phishing, on te demande d'ajouter ton numéro de téléphone pour protéger ton compte Amazon. Là encore, il s'agit de la même arnaque : on te demande de confirmer ton numéro de téléphone via un lien qui, bien entendu, est manipulé. Via un formulaire, les fraudeurs tentent d'obtenir d'autres données que ton numéro de téléphone, comme les données de ta carte ou ton adresse.
Ces cas de faux e-mails d’Amazon sont particulièrement désagréables : ils sont souvent formulés avec une urgence qui vise à te mettre sous pression. Mais garde la tête froide, car nous avons une liste pour toi sur la façon de reconnaître ces e-mails ou messages de phishing.
Exemples de tentatives d’hameçonnage par e-mail et par SMS présentées comme des communications de La Poste, de DHL et d'Amazon.
Reconnaître les tentatives d’hameçonnage en quelques étapes
- Vérifie l’identité de l’expéditeur: positionne le curseur de ta souris sur l’adresse e-mail depuis laquelle l’e-mail t’a été envoyé. Tu constateras une incohérence.
- Même technique pour les liens: positionne le curseur de la souris sur le lien (sans cliquer!) et tu verras que le nom de domaine est suspect.
- Vérifie manuellement le numéro d’envoi ou du colis sur le site de La Poste ou de DHL.
- Télécharge le Centre de messages Amazon et connecte-toi à ton compte Amazon. Tu y verras tous les messages authentiques d'Amazon : si tu n'y trouves pas l'email suspect, il s'agit de phishing.
Suis ces liens pour découvrir les conseils de sécurité de la Poste, de DHL et d’ Amazon.
Tu l’as déjà sûrement compris, mais mieux vaut prévenir que guérir: ne clique jamais sur ce type de lien et ne révèle jamais la moindre information confidentielle sur ton identité ou ta carte. Si j’étais toi, je n’en parlerais même pas à ton chien. Qui sait combien il est rusé...
Faisons-nous l’avocat du diable. Imaginons que tu aies cliqué sur le lien et que tu aies donné les coordonnées de ta carte.
Situation n° 1. Les personnes derrière cette opération de fraude peuvent désormais réaliser des achats avec les informations de ta carte. Tu te dis alors: «Mais comment est-ce possible ? Pour valider une transaction, il faut pourtant bien indiquer un code 3D Secure envoyé par SMS ?» Malheureusement, certains e-commerces n’exigent pas d’authentification à deux facteurs.
De manière générale, nous te conseillons de toujours bien vérifier tes SMS avec vigilance: le nom du commerce, la devise et le montant correspondent-ils à la transaction concernée? Si ce n’est pas le cas, contacte-nous immédiatement ou gèle ta carte dans l'appli par mesure de sécurité jusqu’à ce que l’affaire soit tirée au clair.
Situation n° 2. Les personnes qui ont volé tes informations peuvent utiliser ta carte avec des services de paiement mobile sur leur smartphone, comme Apple Pay, Google Pay et Samsung Pay. Lorsqu’elles configurent le service, un code t’est envoyé par SMS pour valider l’activation des paiements mobiles. Le pire que tu puisses faire serait de communiquer ce code sur une page Web frauduleuse, ce qui permettrait à ces personnes de le récupérer et d’effectuer librement des paiements avec ta carte.
Donc, si tu reçois un code d’activation de la part de Apple Pay, Google Pay ou Samsung Pay sans l’avoir demandé, contacte-nous immédiatement. Et dans tous les cas, ne communique jamais ton code d’activation de Apple Pay, Google Pay ou Samsung Pay sur Internet. Ce code ne doit être indiqué que dans ton application Google ou Samsung sur ton smartphone.
À gauche, voici un exemple de code 3D Secure envoyé par SMS, à droite un code pour l’activation des paiements mobiles (Apple Pay dans cet exemple)
Les SMS de 3D Secure mentionnent toujours le nom du commerce en ligne, la devise et le montant exact. Vérifie systématiquement que toutes ces données correspondent à ta transaction ou à ton achat. C’est la même chose pour le code d’activation des paiements mobiles. Il ne t’est envoyé que si tu connectes ta carte à ton appareil mobile. Cela signifie que nous t’enverrons un code d’activation uniquement si tu utilises ta carte dans ton application de paiements mobiles.
Tes nouveaux mantras de sécurité
Mantra #1 : ne révèle jamais d'informations confidentielles sur toi-même ou sur ta carte. Ne saisis les détails de ta carte qu'auprès de détaillants réputés. Ne révèle rien à tes animaux de compagnie non plus. Sérieusement, même pas à ton hamster. Il est sans doute encore plus rusé que ton chien.
Mantra #2 : Si tu as des doutes ou si tu crains d'avoir saisi les données de ta carte sur un site douteux : par précaution, bloque ta carte dans l'appli (sous «Profil» et «Ta carte») et contacte-nous à l'adresse service_at_neon-free.ch ou appelle notre hotline au +41 43 508 03 76.
Si tu te demandes maintenant si la banque mobile est vraiment sécurisée, tu peux trouver des réponses ici.