Avr
23

Le côté obscur du mail : spam, phishing, hoax, arnaques...

publié le 23 avril 2015 dans guide avec 0 Commentaires

le côté obscur du mail : phishing, spams, hoax...

Dans un précédent article je vous donnais des clés pour mieux maîtriser les subtilités de l'email en devenant un expéditeur plus averti.

Changeons de point de vue : vous êtes le destinataire de dizaines de mails hebdomadaires ou quotidiens et, comme tout le monde, vous recevez votre lot de publicités, de tentatives d’arnaques et de mails inutiles. Au mieux, vous perdez votre temps à trier et gérer ce courrier intempestif, au pire ils font de vous la victime de cybercriminels. C’est le côté obscur du mail !

Aujourd'hui, je présenterai quelques définitions qui vous permettront de mieux comprendre les objectifs de ces mails indésirables puis nous verrons comment éviter leurs pièges grâce à quelques solutions simples.

Spam (ou courrier indésirable ou pourriel)

Il s’agit de mails publicitaires non sollicités, envoyés en masse. Les spammeurs récupèrent des milliers d’adresses grâce à des robots malveillants qui scannent les sites web, les forums de discussions et autres ressources sur internet afin de constituer un carnet d’adresses géant qu’ils peuvent ensuite revendre et/ou inonder de pourriels. On cherche à vous vendre toute sorte de choses, souvent illicites : médicaments, services, logiciels, solutions miracles pour gagner rapidement des milliers d’euros, pornographie, etc. La quasi totalité sont des arnaques. Contrairement aux prospectus qui inondaient nos boites aux lettres postales avant l’usage des fameux autocollants Stop-pub, on ne peut pas vraiment s’en débarrasser complètement.

Il ne faut pas confondre les spams publicitaires avec les éventuelles lettres d’information (newsletter) auxquelles vous êtes légalement abonné, provenant de site internet, ou de marques dont vous avez la carte de fidélité.

En pratique, il ne faut jamais répondre à ces mails ni cliquer sur un quelconque lien. Ne les ouvrez même pas si vous les identifier immédiatement par leur objet ou leur expéditeur. Parfois, le simple fait d’ouvrir le mail signale au spammeur que votre adresse est valide. A fortiori ne cherchez pas à vous désinscrire via le lien souvent proposé en bas du mail (« pour cesser de recevoir nos informations, suivez ce lien ») : là aussi ce serait une confirmation qu’il y a bien quelqu’un qui relève les mails et votre adresse prendrait de la valeur à leurs yeux ! Enfin, n’appelez jamais les numéros de téléphones mentionnés.

Ceci étant dit, le spam est pénible mais en général peu dangereux, si vous ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes éventuelles qui peuvent contenir un virus (sur Mac, les virus ne sont pas vraiment un souci mais vous pourriez le transmettre à des amis PCistes….). Les « risques » principaux sont la perte de temps pour trier son courrier quotidien et la saturation de votre boite mail.

Hoax ( = canular en anglais)

Le hoax désigne un genre de mails bien particulier qui va en fait bien au delà du canular. Sa particularité est d’être propagé par les internautes aux-mêmes, souvent sans mauvaise intention. Contrairement aux cas précédents, ils nous parviennent via une connaissance, et sont souvent bien construits.

Les thèmes utilisés sont variés : appels à l’aide pour retrouver une personne disparue, pour obtenir un don de moelle osseuse, appels à la mobilisation contre une loi choquante, rumeurs, scandales, théories du complot, alertes aux virus, etc. Le hoax peut trouver son origine dans un mail créé par une personne de bonne foi, pour régler un problème depuis longtemps résolu. Il en prend la forme globale, mais change les noms, certaines informations, certaines photos. Il peut donc se transformer au fil du temps.

Très argumenté, il mélange de vraies informations pour créer le doute avec de fausses informations, floues et invérifiables ; il cite des personnes et des organismes reconnus, en guise de caution (IBM, Europe 1, etc..) ; il joue sur l’émotion, la détresse et l’urgence. Certaines variantes sont créées pour causer du tort à un organisme ou une personne dont l’adresse, en copie du hoax, devient la cible inondée de milliers de versions du hoax.

De par sa nature, le hoax incite à la diffusion et s’apparente alors au phénomène des « chaînes de lettres » : il joue sur la superstition ("La lettre doit faire le tour du monde, c'est pourquoi vous devez faire 20 copies et les envoyer a vos amis et collègues. Après quelques jours, vous recevrez une surprise. Ceci est vrai. Même si vous n'êtes pas superstitieux, prenez note de…"), la compassion, la révolte, l’amitié ("Envoyez cette lettre a tous ceux que vous considérez être vos AMIS même si cela signifie de retourner la lettre a l’envoyeur »), pour encourager une propagation massive. C’est probablement sa caractéristique la plus facilement identifiable.

Le destinataire qui reçoit le hoax est en effet invité plus ou fortement à transmettre le message à toutes ses connaissances, qui elles-mêmes le feront avec leur proches. Et si ces personnes ne sont pas averties des bonnes pratiques de l’email et laissent toutes les adresses des destinataires visibles… elles font la joie des robots spammeurs !! La boucle est bouclée.

Pour en savoir plus sur ce type de mails, je vous invite à visiter le site hoaxkiller dont la vocation est de vous aider à identifier les hoax parmi les mails que vous recevez. Il répertorie les hoax les plus connus, au travers de fiches explicatives analysant les tenants et les aboutissants de ces mails douteux. Il donne par ailleurs de nombreuses informations sur les caractéristiques du hoax, ses dangers et les moyens de s’en prémunir. En cas de doute, n’hésitez pas, rendez vous sur ce site et utilisez leur moteur de recherche.

Scam (= escroquerie)

Ici, on passe d’une simple nuisance à un risque potentiel. L’arnaque de type scam la plus connue est la suivante : une personne inconnue vous écrit en affirmant posséder une grande somme d’argent (héritage, fonds à placer à l'étranger, etc.) et demande votre aide pour son transfert. En échange de votre participation, elle vous promet un pourcentage. Si vous répondez favorablement au mail, on vous demandera ensuite d'envoyer une avance pour couvrir des frais divers (notaires…) pour que le transfert puisse se faire… Évidemment, vous ne récupérerez jamais votre argent !

Le mail est bien enrobé, on vous conte littéralement une histoire, souvent touchante… Il existe des variantes mais dans tous les cas, vous êtes invités à avancer des fonds dans un contexte compliqué et urgent, soit pour aider quelqu'un en détresse (dans un pays d’Afrique généralement) soit dans l’espoir de toucher vous même un pactole.

Et ça marche ! Sophistiqués ou ridiculeusement grossiers, les scams continuent à être un exemple de cybercriminalité juteuse !

… Direction poubelle pour ces mails !

Phishing (= hameçonnage)

Cette catégorie de mails malveillants est plus difficile à identifier comme tels. Le but du phishing est de récupérer vos données personnelles (identifiant de connexion, mots de passe, données bancaires, date de naissance...). Ces mails frauduleux, généralement envoyés en grand nombre, vous font croire qu’ils sont émis par une entité de confiance, souvent une banque ou une administration (la CAF, l’assurance maladie, un fournisseur d’accès internet, Paypal, etc), en imitant plus ou moins bien leur logo, le design et le ton de leur mails habituels.

Afin de vous inciter à délivrer des informations sensibles, le mail prend généralement une tournure dramatisante, évoquant un problème à régler rapidement, par exemple la désactivation de votre compte ou le piratage d'identifiants et mots de passe. A l’inverse, le mail peut aussi vous annoncer qu’une somme d’argent vous revient, par exemple un remboursement d’impôts après calcul...

Vous êtes alors invités à cliquer sur un lien contenu dans l’email, qui vous amène sur un site ressemblant comme deux gouttes d’eau (dans les cas les plus sophistiqués) au site de la vraie administration. Via un formulaire, vous renseignez vos informations confidentielles… que des escrocs récupèrent !

Voici un exemple parlant, regardez bien, tous les ingrédients sont là :

exemple classique de phishing

Conseils en cas de phishing

D'abord, gardez à l’esprit qu’une banque ne contacte jamais ses clients par mail pour régler un problème de sécurité. En cas de doute, contactez l’organisme concerné.

Dans votre navigateur

  • Pour vous connecter au site de votre banque ou d’une autre administration, passez toujours par votre navigateur en tapant directement son url (ou en utilisant un favori), sans passer par un lien contenu dans un mail.
  • Si par mégarde vous avez cliqué sur un lien, vérifiez l’url du site : souvent, vous serez dirigé vers un faux site dont le nom de domaine (ce qui est apparait après « www » dans l’adresse du site.  Attention, regardez bien dans la barre d’adresse, non en haut de la page ou sur l’onglet !) trompe l’internaute par une orthographe ou une expression très proche. Par exemple : http://www.banquepostal.fr ou lieu de http://www.banquepostale.fr ou france-impotsgouv.fr ou lieu de impots.gouv.fr.
  • Assurez vous de l’activation du cryptage des données lorsque vous êtes sur le point de remplir un formulaire avec des données sensibles : l'adresse du site doit commencer par https et non par http et il y a un petit cadenas dans la barre d’adresse de votre navigateur. Parfois, en plus du cadenas, l’adresse est écrite en vert ou la barre d’adresse a un fond vert.

Exemple sur Safari

cryptage des données dans Safari 1

Sur Firefox

cryptage des données dans Firefox 1

Sur Safari, l’adresse est écrite en vert et en cliquant sur le cadenas vous pouvez obtenir plus d’informations.

cryptage des données dans Safari 2

Sur Firefox, la partie gauche est écrite en vert et en cliquant sur cette partie, vous pouvez obtenir plus d’informations.

cryptage des données dans Firefox 2

Dans Mail

Si vous survolez (sans cliquer donc) avec votre souris un lien contenu dans un mail suspect (le lien peut être sous forme d’une image, votre curseur se transforme en petite main dans tous les cas), au bout de quelques instants, une info-bulle apparait avec le lien réel. Ce n’est pas une information déterminante car parfois les adresses dans l’info-bulle paraissent étranges et sont pourtant valides et fiables, mais c’est une piste sérieuse.

Vérifiez aussi l’adresse de l'expéditeur : le nom peut paraitre fiable mais, comme pour les liens, il y une différence entre le nom affiché et l’adresse réelle. Regardez ces exemples de spam (et non de phishing ). Ce n’est pas parce que l’adresse véritable comporte des mots qui semblent inspirer confiance tel qu' « Apple » qu’il faut les croire !

attention aux libellés des adresses dans Mail

Enfin, QuickLook peut parfois vous aider à voir le lien caché derrière un hyperlien dans Mail et même voir un aperçu de la page web ciblée.

Cas particulier : j’avoue que je ne sais pas si ça rentre dans le cadre stricte du phishing, mais vous pouvez parfois recevoir un mail d’une personne connue (famille, ami, collègue) sollicitant votre aide dans un mail mystérieux et dramatisant… La personne a besoin d’argent rapidement après s’être fait agressée ou volée, souvent dans un pays d’Afrique, mais elle ne peut pas expliquer plus en détails car "trop compliqué" ou « dangereux »…. !
Il s’agit en général d’une usurpation d’identité. Votre connaissance s’est fait pirater son adresse mail. Son carnet d’adresses, dont vous faites partie, est utilisé à des fins frauduleuses… Là aussi, vigilance. Des indices peuvent vous mettre sur la voie : un ton trop ou pas assez familier par rapport à l’habitude, une manière étrange de signer le mail, des fautes, etc… Le mieux est aussi de contacter par téléphone ou SMS votre ami pour le prévenir !

Pour éviter d’être vous-même victime d'un piratage de votre boite mail, n’oubliez pas : ne réagissez pas aux mails de type phishing vous incitant à modifier vos identifiants de connexions mail, utilisez un mot de passe très efficace, changez-le régulièrement, adoptez l’identification en deux étapes… (autant de mesures de sécurité qui pourraient faire l’objet d’un prochain article, non ?).

Résumons :

Les signes qui doivent vous alerter :

  • expéditeur inconnu,
  • envoi impersonnel et / ou en grand nombre,
  • nombreuses fautes d’orthographes et tournures étranges (symptômes de traduction automatique),
  • mail où les accents sont remplacés par des caractères spéciaux,
  • demande de renseignements sensibles,
  • incitation à une diffusion massive,
  • thème et ton suspects : compassion, urgence, sécurité, rumeur, scandale, scoop, gain facile...

Les conseils basiques :

  • ne jamais répondre à un mail suspect ou publicitaire,
  • ne jamais ouvrir les pièces jointes de ces messages,
  • ne jamais cliquer sur leurs liens (y compris ceux inclus dans des images)
  • si possible, ne pas les ouvrir du tout,
  • faites confiance à votre bon sens pour discerner,
  • informez vos proches quand l’occasion se présente. Expliquez le problème, renvoyez-les vers le site hoaxkiller si besoin et pourquoi pas vers cette page !

Gestion des spams dans Mail

Impossible d’échapper aux spams mais on peut apprendre à mieux gérer le phénomène en trouvant un équilibre entre sécurité, prévention et confort (un système anti-spam trop zélé et vous passez à côté de mails légitimes...).

Mail inclut un système anti-spam qui se veut intelligent bien que sans prétention : il repère tout seul les mails indésirables et vous les affiche en marron pour un meilleur repérage. Mais l’idée est de lui apprendre au fil du temps à en reconnaître davantage : si Mail laisse passer un spam, vous pouvez manuellement le classer comme Indésirable pour « éduquer » Mail.

bouton pour rendre un mail indésirable dans Mail

À l’inverse, si Mail s‘est trompé en classant comme spam un mail légitime, vous pouvez classer celui-ci comme Désirable, grâce au bouton en haut à droite de votre message.

bouton pour rendre un mail désirable dans Mail

Selon les réglages choisis dans les Préférences de Mail (cochez bien filtrer le courrier indésirable), ces indésirables peuvent être au choix :

  1. laissés dans votre boite de réception,
  2. placés directement dans un dossier « courriers Indésirables »,
  3. subir un traitement personnalisé.

options pour gérer les spams dans Mail

Si vous choisissez la 3e option et cliquez sur le bouton Avancé…  Mail vous propose un réglage de règle personnalisée que vous pouvez adapter.

créer une règle pour gérer les spams dans Mail

Rappelons que les règles personnalisées de Mail permettent d’automatiser la gestion et le tri de vos messages. Le principe est simple : vous établissez des critères, des conditions auxquelles le message doit répondre. Par exemple, « si le message provient de Jeanne », « si la date d’envoi est inférieure à 7 jours », "Si la pièce jointe est de type PDF ». Si un message répond à ces conditions (partiellement ou en totalité selon votre choix), alors il subit le traitement que vous avez imaginé : le message va dans le dossier Famille ; un son de cloche est diffusé à sa réception ; il est marqué d’un drapeau, etc. Ce système de filtrage est vraiment puissant... et peut être complété par le système des boîtes aux lettres intelligentes mais c’est une autre histoire !

Pour en revenir aux spams, à vous de déterminer leur sort ! Je vous conseille chaudement d'utiliser une règle pour au minimum regrouper tous les mails suspects dans une Boite au lettre dédiée pour alléger votre boite de réception et faciliter votre vérification. Car n’oubliez pas que Mail n’est pas infaillible alors ne jetez pas directement les supposés spams sans y avoir jeté un œil surtout si votre Mac est récent et que Mail n’est pas encore bien entrainé.

Boite aux lettres dédiée aux Spams dans Mail

Je vous conseille de laisser cochées les 4 options entourées en vert sur la première capture d'écran. La dernière de ces options Se fier aux en-têtes indiquent du courrier indésirable fait le lien avec une éventuelle détection du caractère « spammant » de vos messages, en amont, par vos webmails comme Gmail oou Yahoo, qui on leur propres filtres anti-spam, souvent efficaces. Rendez-vous dans les options de votre webmail et si ce n’est pas déjà fait, activez son filtre. Une remarque : il y a toujours le petit risque qu’un mail normal soit par erreur considéré comme un spam ( un « faux positif » ) et ne vous parvienne jamais…. vous pouvez allez faire un tour de temps en temps dans le dossier SPAM ou pourriel de votre messagerie en ligne.

Si malgré les efforts de Mail, vous êtes inondés de spams, sachez qu'il existe des solutions payantes plus performantes pour gérer le spam sur Mac, notamment SpamSieve, qui a bonne réputation et coûte 30$.

Quelques conseils généraux

En plus des conseils donnés au paragraphe sur le phishing :

  • ne laissez pas votre adresse mail en clair sur les forums, sites web…. ni sur votre propre site, si vous en avez un. À défaut, vous pouvez compliquer sa reconnaissance par les robots, en écrivant par exemple : jeandupont[arobase]gmail.fr mais les robots se perfectionnant sans cesse, optez plutôt pour une adresse sous forme d’image.
  • créez une autre adresse mail, que vous réserverez pour vos inscriptions et activités sur internet. Mail vous permet de relever autant d’adresses que souhaité.
  • lors de votre inscription sur certains sites marchands, il y a parfois une petite case à décocher pour éviter de recevoir de la publicité supplémentaire. Soyez attentifs !

Et encore plus généralement :

  • n'installez que les logiciels indispensables à vos activités,
  • ne les téléchargez qu'à partir de sites connus et fiables,
  • activez le pare-feu de Mac OS (et éventuellement un anti-virus… gratuit du type Clamxav),
  • mettez à jour votre système d’exploitation et vos navigateurs chaque fois que c’est nécessaire.

Pour compléter ce tour d’horizon, sachez qu'Il existe des plateformes officielles de signalement :

Signal Spam
Présenté comme un site citoyen, partenaire de la CNIL, il permet de signaler vos spams et ainsi, d’aider les professionnels de l’emailing à mieux connaître ce phénomène et de prendre des mesures appropriées (amélioration des systèmes anti-spams, etc). Après inscription, le signalement se fait facilement via une petite extension, un plugin qui se greffe sur votre logiciel de messagerie. Malheureusement, si vous utilisez Mail, il n’y a pas encore de plugin adapté et il vous faudra passer par un formulaire. Cela reste assez dissuasif.

Pharos
Pour ce qui est des escroqueries par mail ou des contenus illicites, il existe la plateforme PHAROS. Si ce type de démarche vous intéresse, je vous laisse découvrir leur site.

Voilà, j'espère que ce nouveau guide vous permettra d’aborder plus sereinement l’usage du mail. Vous êtes maintenant mieux armés pour identifier, connaître et donc combattre ces fléaux de l’internet qui ne doivent pas nous empêcher de communiquer chaque jour par mail !

Et vous, avez-vous déjà été victime d’une escroquerie par mail ? Avez-vous mis en place des solutions pour échapper au spam ?

Complétez votre formation avec le blog : astuces, tutoriels et articles Mac, fondamentaux et à-côtés de l'informatique...