"Votre compte a été suspendu" - 7 signes révélateurs d'une escroquerie par phishing

 
Selon les études, le phishing (ou hameçonnage) reste le vecteur d’attaque le plus efficace pour les personnes malveillantes qui veulent voler vos données. Bien que les pirates disposent de nombreuses options, ils privilégient le phishing car il permet une chose formidable : les victimes participent à leur propre attaque.
Certains parmi les courriers de phishing les plus lucratifs prétendent provenir de 1 Infinite Loop, Cupertino, Californie. En un mot : Apple. Les hackers à l’oeuvre derrière ces campagnes ont perfectionné leurs talents pour créer des messages quasi identiques aux messages d’Apple – charte graphique incluse. Armés de cette manière, ils trompent des milliers d’utilisateurs imprudents qui leur donnent mots de passe et autres données de carte de crédit en pensant communiquer avec le véritable service d’assistance d’Apple. Ils transmettent ainsi leurs précieuses données à des pirates.
Un énième e-mail de phishing basé sur l’univers d’Apple est récemment apparu sur la toile. En tant que modèle d’escroquerie classique, nous avons pensé que ce serait une bonne idée de l’utiliser comme base de notre petit guide sur la détection des escroqueries par phishing. Alors, c’est parti !
Comme le montre la capture d’écran ci-dessous, le message instille la peur, indiquant que votre compte a été détourné d’une façon ou d’une autre, qu’Apple l’a verrouillé pour des raisons de sécurité et que vous devez maintenant ressaisir toutes vos données pour confirmer que vous êtes bien vous, et non un pirate.
 

Email de phishing classique

 
Le message est suffisamment bien conçu pour tromper un œil non averti, mais quelques signes indicateurs montrent que nous avons affaire à une arnaque.
 

Indice n° 1 : “[email protected] a été temporairement désactivé”

 
Posez-vous la question : “Comment mon compte peut-il être inactif si je reçois ce message sur ma messagerie iCloud actuelle, à laquelle je peux toujours accéder par mon identifiant Apple actuel et mon mot de passe actuel ?”
Quelque chose ne tourne pas rond…
 

Indice n° 2 : l’expéditeur

 

 
Les fraudeurs essaieront généralement d’imiter l’adresse électronique de l’entreprise pour laquelle ils se font passer. Dans ce cas, ils ont utilisé le préfixe emblématique «i» généralement utilisé dans la nomenclature Apple. Cela vise à renforcer la crédibilité et à éviter les mécanismes anti-phishing. En cliquant sur le nom de l’adresse, vous obtenez également l’adresse réelle de l’expéditeur de l’email. L’adresse “iforgotmanageservicedtls11 @ personalverfctioninfos.com” ne ressemble guère au vrai Apple de Cupertino.
Pour tout service ou entreprise que les pirates pourraient imiter, vérifiez les e-mails reçus précédemment et voyez à quoi ressemble la véritable adresse.
 

Indice n° 3 : “Votre identifiant Apple a été verrouillé pour une raison de sécurité”

 
Objet classique d’un courrier de scareware (ou alarmiciel, qui utilise l’ingénierie sociale pour provoquer le choc, l’anxiété ou la perception d’une menace afin de manipuler les utilisateurs).
Les escroqueries par phishing tentent de vous effrayer en vous disant que quelque chose ne va pas et que vous devez prendre des mesures immédiates. C’est un indice classique du fait que vous avez affaire à une escroquerie. Et le mot “raison” ne devrait-il pas être au pluriel ici ? Un mauvais niveau de langue est toujours le signe qu’il faut se méfier.
 

Indice n° 4 : “allez ICI” ne vous mène pas réellement sur le site web d’Apple

 
Placez le curseur de votre souris sur n’importe quel lien hypertexte et vous verrez l’URL véritable sans avoir à cliquer dessus. Dans cet exemple, iCloud Mail est ouvert dans Chrome, ce qui révèle l’URL dans le coin inférieur gauche de la fenêtre du navigateur. (Microsoft Outlook révèle l’URL dans une bulle carrée, juste au-dessus du curseur de la souris).
 

 
La première chose à noter ici est que l’URL a été raccourcie. Aucune entreprise légitime, en particulier Apple, ne ferait cela. Mais admettons que vous ne le remarquez pas et continuez en cliquant sur le lien. En règle générale, vous serez amené sur une page créée pour ressembler à celles du site d’Apple. Il est fort probable que la page hébergera un formulaire vous demandant de saisir vos données personnelles et parfois même des données financières.
Ne le faites pas ! Apple ne vous demandera jamais de faire quoi que ce soit de la sorte, même si votre compte est piraté.
 

Un formulaire non légitime pourrait ressembler à ça

 

Indice n° 5 : “Votre compte désactivé de manière permanente si vous ne le vérifiez pas sous 24 heures.”

 
Voici une autre dose de scareware, au cas où les premières tentatives auraient échouées. JAMAIS une entreprise ne désactivera votre compte de manière permanente, juste parce qu’il a été piraté. Bien au contraire. Elle essaiera systématiquement de le récupérer et de vous le rendre de façon sécurisée.
Il manque également un verbe ici. Bien essayé !
 

Indice n° 6 : la signature électronique

 

 
Les grandes entreprises comme Apple, Facebook et Google signent généralement leurs e-mails en n’utilisant que le nom de l’entreprise. Certains peuvent contenir des termes tels que support, department, team (en français : aide, assistance, service), etc. Cela varie selon les sociétés. Mais, “Apple Information” ? Cela ne ressemble pas vraiment à un nom de service. On dirait presque que les escrocs étaient à court d’idées…
En cas de doute, recherchez le dernier courrier électronique légitime de l’entreprise dont vous êtes client et comparez les signatures. Si elles ne correspondent pas, vous savez à quoi vous en tenir.
 

Indice n° 7 : aucune URL là où il devrait y en avoir une

 

Apple ID et Privacy semblent avoir un lien hypertexte, mais ce n’est pas le cas.

 
De faux hyperliens qui ne mènent nulle part indiquent également que quelque chose ne va pas. Une politique de confidentialité (“Privacy Policy”) est censée être accessible aux clients pour leur permettre de passer en revue les droits et obligations respectifs. Nous sommes ici en présence d’une réplique incomplète de la maquette d’Apple.
 
Voilà. C’était un exemple typique du mode opératoire des escrocs par phishing. Ces campagnes sont légion, et apportent presqu’à chaque fois quelque chose de nouveau.
En tant que principe fondamental, ne transmettez jamais vos données personnelles, votre mot de passe ou les informations de votre carte de crédit à un expéditeur de courrier électronique avant d’avoir vérifié de manière exhaustive son identité réelle. Très peu d’entreprises, voire aucune, ne solliciteraient ces informations auprès de leurs clients par courrier électronique.
(Pour information, à l’heure où nous publions ce billet de blog, la campagne de phishing précisément décrite ici a déjà été signalée à la société d’hébergement et l’arnaque a maintenant pratiquement cessé. Mais d’autres prendront certainement le relais…).
 

 
Cela ne veut pas dire que vous devriez considérer chaque message d’avertissement comme une arnaque. Veillez simplement à tout inspecter de manière approfondie avant de prendre toute mesure que vous pourriez regretter plus tard.
En ce qui concerne les utilisateurs Apple, si vous recevez un courrier électronique d’hameçonnage censé provenir de Cupertino, Apple recommande de transmettre le message avec les informations d’en-tête complètes à [email protected] afin que l’entreprise puisse enquêter sur la question.
Protégez-vous !