Étiquette : hameçonnage

eBay se sépare de PayPal : Recrudescence de phishing !

La future séparation de PayPal et d’eBay va entrainer une augmentation des tentatives de phishing

En septembre dernier, eBay annonçait l’intention de se séparer de sa filiale PayPal acquise en 2002. Cette séparation, qui devrait avoir lieu au deuxième semestre 2015, se précise. Les détails de ce divorce à l’amiable commencent ainsi à être connus.

Si vous êtes un utilisateur de PayPal, vous avez peut-être déjà reçu un courriel intitulé « Modifications des Contrats d’utilisation ». Dans celui-ci, il est rappelé que « Bientôt, PayPal et eBay ne feront plus partie du même groupe de sociétés et opéreront comme des entités à part ». Ceci entraine que « les Conditions d’utilisation, le Règlement sur les utilisations autorisées et le Règlement sur le respect de la vie privée » vont être mis à jour « afin de continuer à fournir la même qualité de services à laquelle vous êtes habitué ».

Le courriel invite ensuite l’internaute à cliquer sur un lien pour consulter « les détails de ces changements ». Ce lien redirige ensuite sur le site paypal.com et donnant accès à la mise à jour du règlement.

Des escrocs toujours à l’affut

paypal et ebay se separe
Crédit : arnaqueinternet.com

L’image ci-dessus est l’image du courriel reçu de PayPal pour indiquer les modifications à venir suite à sa future séparation d’eBay.

Les escrocs étant toujours à l’affut, vous allez probablement également recevoir des e-mails étant des tentatives de phishing usurpant l’identité de PayPal, voire celle d’eBay. Les escrocs vont profiter de la communication officielle pour envoyer des tentatives d’hameçonnage. Ceci dans le but d’arnaquer quelques internautes distraits ou mal informés sur cette pratique.

N’oubliez donc pas les trois techniques pour distinguer un e-mail authentique de PayPal :

  1. L’adresse de l’expéditeur du courriel doit être paypal.com ou paypal.fr
  2. Le mail doit citer votre prénom et votre nom (et pas « cher client » ou « cher utilisateur »)
  3.  Le lien inclus dans l’e-mail doit rediriger vers une adresse paypal.com ou paypal.fr . Attention au fait que « PayPal » doit être situé juste avant le .com ou le .fr, par exemple « paypal.xyz.com » n’est PAS un site PayPal officiel

Sachez déjouer les tentatives de phishing par pseudo mail des impôts

Déjouer les tentatives de phishing usurpant l’identité du fisc est crucial dans cette période importante pour le contribuable.

Taxe foncière, taxe d’habitation, taxe audiovisuelle, c’est en cette période de règlement que les escrocs multiplient les tentatives de phishing. Voici 3 conseils pour reconnaitre un mail de phishing des impôts et déjouer les tentatives d’hameçonnage :

Le niveau de français employé

déjouer un mail de phishing des impots

Même si les escrocs se perfectionnent de plus en plus, un des premiers éléments qui doit vous alerter est la qualité du français utilisé dans le courriel, que cela soit au niveau de l’orthographe ou de la grammaire. Même si des outils informatiques permettent de corriger les fautes d’orthographes, il n’existe pas (encore) de correcteur grammatical parfait. Aussi, sachez déjouer les escrocs en fuyant les tournures de phrases improbables.

À l’inverse, un mail écrit dans un parfait français n’est pas une garantie sur son authenticité, d’autant que les tentatives d’hameçonnage avec un courriel grossièrement traduit de l’anglais par ordinateur ont tendance à se raréfier.

L’adresse e-mail de l’expéditeur

Ne vous fiez pas à ce qui est écrit dans la colonne « expéditeur » de votre boite de réception. Il est tout à fait possible de paramétrer cet élément pour que s’affiche « service des impôts » dans la boite du destinataire du mail. En revanche, vérifiez bien l’adresse de celui qui vous envoie le mail. Là encore, sachez déjouer l’arnaque en évitant tous les mails qui proviennent de services de messageries disponibles à tous, du type « impots@hotmail.fr » ou « fisc@yahoo.fr ».

Ignorez également les mails provenant de nom de domaines imitant le domaine officiel tel que par exemple « impots.gov.fr » (manque le « u ») ou « finances.govv.fr (Deux « v »). Il s’agit de domaines créés uniquement dans le but de ressembler au nom officiel : gouv.fr

Ne renseignez jamais vos coordonnées bancaires sur demande du fisc

Et ce, pour une bonne raison, les services des impôts ne vous demanderons jamais votre numéro de carte bleue ! Les escrocs profitent de l’habitude prise par les internautes constituant à indiquer leurs informations bancaires dans des formulaires pour régler des achats sur des sites de ventes sur internet.

Ne vous fiez pas à l’apparence légitime d’un site sur lequel vous êtes arrivés après avoir cliqué sur un lien contenu dans un mail apparemment envoyé par le fisc. Ne remplissez jamais de formulaire avec vos coordonnées bancaires à la demande des impôts. C’est obligatoirement une tentative d’escroquerie.

Le phishing ciblé

Le phishing ciblé est la première des 4 nouvelles techniques dont nous allons parler dans notre dossier spécial de l’été.

Au cours des dernières années, le phishing ciblé a progressé pour devenir peu à peu l’une des grandes tendances des arnaques en ligne. Il s’agit d’une technique utilisée par les escrocs pour viser spécifiquement un individu ou une entreprise. Le but n’étant quant à lui pas nouveau puisqu’il s’agit d’accéder à des informations ou à des comptes bancaires.

phishing ciblé

Dans une tentative d’hameçonnage classique, l’escroc va envoyer des milliers de courriels à des inconnus en espérant qu’une ou deux personnes vont être prises au piège. Cette fois-ci, dans une tentative de phishing ciblé, le fraudeur va se concentrer sur une victime, en travaillant son « attaque » pour présenter des arguments convaincant qui pourront berner sa proie et lui faire communiquer des informations secrètes.

Une arnaque plus subtile

Dans ce scénario, l’escroc est aussi doté de connaissances en piratage informatique. Il doit d’abord être en mesure de pénétrer dans la boîte e-mail d’une victime sans méfiance. Mais, une fois introduit dans le compte courriel, au lieu de faire une razzia sur les données et de quitter le compte rapidement, le criminel prend le temps d’analyser les informations qu’il trouve.

Ensuite, le pirate se fait passer pour une entreprise importante, comme une banque ou EDF. Il envoie alors un e-mail personnalisé à la personne à qui il a précédemment piraté la boite mail en expliquant l’existence d’un problème avec le compte de la victime. Il prend alors soin d’inclure des détails probant comme le numéro de compte de la victime qu’il aura trouvé dans de vrais courriels de banques ou d’EDF.

L’escroc pousse alors la victime à changer rapidement son mot de passe via un lien fourni dans le courriel. L’escroc est ensuite capable d’accéder au compte de la personne.

Redoubler de vigilance lorsque vous recevez un mail d’une entreprise dans laquelle vous êtes client et qui évoque un problème avec votre compte, il pourrait s’agir d’un phishing ciblé. La meilleure stratégie consiste à appeler cette entreprise par téléphone pour avoir une confirmation.

Notre prochain article traitera des arnaques aux services informatiques. Rendez-vous dans quelques jours.