En ce moment tout le monde parle de l'Hameçonnage (Phishing) - généralement des courriels (emails) qui essayent de faire croire qu'ils émanent de votre banque ou d'un autre service en ligne dont vous vous servez, mais qui sont en réalité des faux qui veulent vous amener à saisir votre identifiant secret ou les informations de votre carte de crédit sur un faux site web frauduleux.

Ceci ne se produira pas si vous gardez secrète votre adresse email, mais dès la réception d'un premier spam, votre adresse email a été découverte, probablement vendue par un spammeur à un autre spammeur, et vous êtes susceptible de recevoir aussi de tels courriels (emails) d'hameçonnage (phishing). Nous avons rassemblé une petite douzaine de ces courriels de phishing et nous avons décidé d'écrire ce petit article pour vous montrer à quoi ils ressemblent, et comment vous pouvez facilement les reconnaître.

Tous les courriels venant de services en ligne qui vous demandent de saisir votre identifiant sur un site web doivent être à priori considérés comme suspects, et vous devez les contrôler via la liste ci-dessous.

• Certains courriels de phishing mettent la totalité de leur texte dans une image pour éviter qu'ils ne soient détectés par les filtres anti-spam. D'autres ajoutent du texte en lettres de la même couleur que l'arrière-plan pour gêner les filtres anti-spam. Vous pouvez appuyer sur Ctrl+A (ou utiliser Sélectionner tout à partir du menu Édition) dans un courriel de ce genre pour voir si le texte est sélectionnable et s'il y a du texte caché. Si vous ne pouvez pas sélectionner individuellement des mots dans le texte, cela montre que le texte est inclus dans une image, ce qui est tout à fait improbable pour un service légitime. De plus, si vous voyez que le courriel contient des phrases qui n'ont aucun rapport avec le sujet, c'est un bon signe qu'il s'agit d'une imitation.
• La plupart des courriels de phishing présentent un lien qui semble être valide mais qui ne l'est pas. Le texte du lien, ce qui est affiché, ressemble à un lien légitime vers le site web du service, alors que le lien réel derrière ce texte amène sur une toute autre page. Vous pouvez faire passer le curseur de la souris sur ce lien et contrôler la barre d'état de votre client de messagerie, qui affiche la véritable adresse du lien. A chaque fois que ce lien n'est pas exactement celui qui est affiché dans le texte (ou que ce dernier n'est pas identique à l'adresse que vous connaissez, et ceci jusqu'au moindre point - wwwv1-paypal.com par exemple n'est pas la même chose que www.paypal.com), vous ne devriez jamais cliquer dessus. Certains courriels de phishing contiennent même quelques vrais liens, mais si vous avez le moindre doute sur un seul des liens, ne cliquez sur aucun d'entre eux. La meilleure méthode pour rendre visite à n'importe quel site web d'un service en ligne est d'y aller uniquement en en saisissant l'adresse URL que vous connaissez dans votre navigateur, et jamais en cliquant sur un lien trouvé dans un courriel.
• Il est courant que des courriels de phishing vous préviennent de ne pas divulguer vos mots de passe à quiconque. Les courriels de phishing utilisent aussi les dessins d'origine de eBay, PayPal, CitiBank et d'autres services en les imitant. Les avertissements et la présentation ne sont pas des critères valables pour déterminer si le courriel est légitime.
• Ces serveurs frauduleux que l'on atteint via des courriels de phishing n'ont aucun moyen pour valider vos informations. Donc si vous êtes arrivés sur un site web de vérification qui vous semble suspect (parce que vous n'avez pas tenu compte de nos mises en garde précédentes ou parce qu'il est juste apparu de façon inattendue), vous pouvez essayer de saisir des informations complètement inventées. Si le site web les accepte, il y a quelque chose qui ne va pas. Et même, si le site web vous dit que les données ne sont pas correctes, ce n'est pas un signe de la véracité du site.

Important: Ne saisissez aucune information importante sur un formulaire qui n'est pas crypté SSL (les adresses SSL commencent par https:// au lieu de http://).
Important: N'utilisez jamais les liens des courriels (emails) qui donnent l'impression de vous conduire vers des services protégés par mot de passe auxquels vous avez souscrit (banques, comptes de courrier, tout ce qui requiert un identifiant).
Important: Connectez-vous toujours depuis votre propre favori (marque-page) ou uniquement en saisissant l'adresse URL, et vérifiez toujours le champ adresse URL pour contrôler qu'il est toujours exact.

Ci-dessous vous pouvez trouver plusieurs captures d'écran vous montrant certains courriels de phishing appartenant à notre collection, en tant qu'exemples:

• CitiBank, CitiFinancial: Le texte est une image, si vous faites passer la souris sur le lien vous verrez qu'il ne pointe pas en réalité vers le serveur de citibank.com.
• eBay: Le lien d'en bas ne pointe pas vers eBay. La pression (mise à jour dans les 24 heures) est aussi un bon indicateur.
• PayPal #1,PayPal #2: Ces emails ont exactement la même apparence que certains courriels authentiques de PayPal. De nouveau vous pouvez voir un lien invalide.
• SunTrust: Mis à part le lien, il y a aussi cette menace invraisemblable d'appliquer des frais de 50$ au lecteur s'il ne modifie pas son mot de passe le plus vite possible.
• PostBank: Ce courriel est assez astucieux en ce qui concerne son lien, mais le texte est raté du point de vue technique et il est très peu plausible (chaque phrase se termine par un point d'exclamation). De plus, je n'ai jamais vu aucune banque conseiller un antivirus particulier, s'ils en ont jamais conseillé. Selon le client de messagerie, le comportement de ce courriel est différent: Outlook Express affiche la mauvaise URL dans sa barre d'état, et ouvre la mauvaise page lorsque vous cliquez dessus. Mozilla Thunderbird affiche le véritable lien de Postbank, mais ouvre aussi la vraie page de Postbank si vous cliquez dessus.

Ces derniers mois, nous avons rassemblé des courriels d'hameçonnage (phishing) sur de nombreux comptes et nous avons établi une statistique. Surtout comprennez bien que les banques ou les sites listés ici ne sont que des victimes et qu'ils ont été choisis parce qu'ils ont un très grand nombre de clients, donc ce n'est pas de leur faute. Vous devriez faire spécialement attention à toute email venant soi-disant de votre banque, quelle que soit votre banque, bien entendu.