En français – Saine paranoia, partie III : les arnaques ciblées
Les précédents comptaient bien vous avoir. Leur technique, qui fonctionne, requiert tout de même du courage. Il en faut, pour correspondre avec une centaine de pigeons en parallèle, leur extorquer le maximum par la persuasion, continuer avec la dizaine restante, les presser jusqu’à la moëlle, avant de recommencer avec de nouvelles victimes potentielles.
Ce serait quand même vachement plus pratique de n’avoir rien à faire pour arnaquer les gens, n’est ce pas. C’est la catégorie des arnaqueurs paresseux, qui a monté un autre type d’email piégé… L’email de phishing. Comme son nom l’indique, il s’agit là d’aller à la pêche, mais à la pêche à la nasse, pas question de s’enquiquiner à attendre que ça morde. (la faute d’orthographe dans phishing n’en est pas une. Elle indique la nature cybercrime de la chose).
Les emails de phishing se présentent généralement sous la forme d’alertes de sécurité, de la part de grands sites très connus où l’on peut manipuler de l’argent – Paypal, Ebay, votre banque…
Ces emails seront inquiétants :
Cher Membre PayPal,
En raison des mesures de securité que vous offre PayPal, vous êtes prié de suivre les étapes fournies et de confirmer vos informations en ligne pour la sûreté de vos comptes. Cependant, la non-comfirmation de vos informations peut avoir comme conséquence la suspension provisoire de compte.
(Fautes de français laissées intactes).Suivra un bla-bla habituel sur les procédures de sécurité :
Veillez à ne jamais communiquer votre mot de passe à des sites frauduleux. Pour accéder de manière sécurisée au site PayPal, saisissez l’URL PayPal (https://www.paypal.com/fr/) pour accéder au site authentique de PayPal.
Rassurantes, ces procédures de sécurité ! S’ils me disent tout ça, ça devrait être un vrai mail, n’est ce pas ? Un pirate ne se couperait pas l’herbe sous le pied ainsi ?
Ben si. Ça marche mieux comme ça, car, malgré les lignes précédentes, la plupart des gens cliqueront quand même là :
Vous êtes prié de suivre les étapes fournies et de confirmer vos informations en ligne pour la sûreté de vos comptes. Cliquez ici pour commencer la procedure.
Vous avez cliqué ? Ici j’ai modifié le lien pour pointer sur un site totalement différent et inoffensif ; mais le mail en question vous aurait renvoyé sur un site qui n’est pas celui de Paypal, mais qui y ressemble à s’y méprendre. Sur celui-ci, on vous aurait demandé de remplir toutes les informations demandées par Paypal (dont votre mot de passe, numéro de carte bancaire, et même parfois, code secret de carte banquaire). La page d’aide de Paypal à ce sujet détaille bien la chose.
J’ai pris Paypal comme exemple ici, mais ne vous en faites pas, vous recevrez de faux emails du même genre « de la part » de votre banque, Ebay, votre fournisseur d’accès Internet (souvent « nous avons détecté des activités illégales sur votre compte », mais pas seulement), etc.
Ne cliquez jamais sur aucun lien, d’aucun email provenant d’un site qui gère pour vous des choses importantes, comme votre argent. En cas de doute, connectez-vous via votre raccourci enregistré, ou en tapant l’adresse à la main. Si le site avait quelque chose à vous signaler, ce sera via le site lui-même, pas via email.
Partie IV – Pourquoi les laisse-t’on faire ?
In english – Sane paranoia, part III: targeted scams
The previously mentioned scammers hoped to get you, but their method, although it works, still requires a certain amount of motivation. One needs motivation to manage corresponding with a hundred of possible targets at once, squeeze the most out of them using persuasion, continue with the remaining dozen, go as far as possible, and restart the whole process with new potential victims.
Wouldn’t it be much more practical to be able to scam large numbers of people almost automatically? It’s exactly what lazy scammers thought, and implemented in another kind of trap email: the Phishing email. As its name implies, it’s about going to fish, but using a net – no bothering and waiting for bites!
Phishing emails generally look like security alerts from big, known and trusted e-commerce websites that manipulate money – Paypal, Ebay, your bank…
These emails will be scary:
Dear PayPal customer,We recently reviewed your account, and we suspect an unauthorized transaction on your account. Protecting your account is our primary concern. As a preventive measure we have temporary limited your access to sensitive information.
These emails will usually have a few paragraph about the importance of security procedures:
Make sure you never provide your password to fraudulent websites: To safely and securely access the PayPal website or your account, be sure to verify the link found in the address bar. This must be https://www.paypal.com/.
These security procedures really are reassuring, aren’t they? If they warn me about security, that must be a real email, isn’t it? A mean bad guy wouldn’t screw himself up this way?
Well, yes, he would, because its works better like that. Just write these security procedures, and be sure that most people would still click on the link just after:
We require you to complete an account verification procedure as part of our security measure. You must click the link below to securely login and complete the process. Click here to activate your account.
Did you click? Here, I changed the link to point to a totally different and inoffensive website; but the quoted email would have sent you to a website that isn’t Paypal’s, but that looks exactly the same. On this fake website copy, you would have been asked about a lot of information (including your password, credit card number, and even, sometimes, credit card’s PIN code). Paypal’s help page about the subject explains this really well.
I used Paypal as an example here. But don’t worry! You’ll also get fake mails « from » your bank, « from » Ebay, « from » your Internet Service Provider (usually along the lines of « we detected illegal activity from your account » – but not only), and much more.
Never click any link on any email from any site handling important things like your money. If in doubt, log in via your bookmark, or type the address yourself. If the website has something to warn you about, it’ll do so via the site itself, not via email.