Vous connaissez sûrement les cas de phishing, les appels Ping, l’usurpation d’identité d’un conseiller bancaire, les escroqueries sur Facebook Marketplace, les arnaques liées à la carte Vitale et à la plaque d’immatriculation, et bien d’autres encore… Mais voilà, vous recevez un SMS qui semble officiel et vous avez des doutes : est-ce une arnaque ou non ?
La question se pose alors : faut-il cliquer sur le lien ou non ? Pour résoudre ce dilemme, voici comment repérer les liens malveillants, façon ninja.
1. Le plus sûr : aller directement sur le site
Si vous avez peur d’installer un logiciel malveillant en cliquant sur un lien, la solution la plus sécurisée est de vous rendre directement sur le site officiel du destinataire.
On vous explique.
Imaginons que vous recevez un SMS de votre opérateur téléphonique vous demandant de cliquer sur un lien pour consulter votre facture, et que vous n’arrivez pas à savoir s’il s’agit d’un spam ou non. Dans le doute, il suffit d’aller directement sur le site de votre opérateur pour y retrouver ces informations, plutôt que de prendre le risque (inutile) de cliquer sur le lien.
Avant de cliquer sur un lien, vous pouvez également vérifier sur internet des informations présentées dans le mail douteux.
Par exemple, notre journaliste a reçu hier un mail suspect de Disney +. En voulant vérifier l’expéditeur, seul le nom de “Disney +” s’affichait. Prise d’un doute, elle est allée vérifier sur le site officiel de Disney + pour voir si cette offre existait réellement. Ce n’était pas le cas. Il s’agissait donc d’une arnaque !
2. Vérifier qui envoie ce lien
Dans le même esprit que le point évoqué ci-dessus, il est essentiel de s’assurer que l’expéditeur du mail ou du SMS est fiable.
Par exemple, un lien est probablement malveillant si :
- la source d’un lien est une adresse e-mail inconnue ou un numéro en 06 se faisant passer pour Pôle emploi, Ameli ou une autre institution officielle…
- le lien provient d’un message non sollicité dans votre messagerie Facebook, d’une personne que vous ne connaissez pas, ou d’un ami qui vous écrit soudainement pour vous raconter qu’il s’est fait voler de l’argent lors d’un voyage et qu’il faut cliquer sur un lien de cagnotte pour l’aider…
- le lien provient d’un tweet d’un utilisateur inconnu sans followers.
3. L’adresse e-mail est étrange
Pour vous inciter à cliquer, les escrocs peuvent vous envoyer un lien très semblable à une adresse officielle. Sauf que si vous regardez de plus près, vous remarquerez des fautes ou de légères modifications.
Dans ce cas-là, ne cliquez pas. En cas de doute, souvenez-vous que si c’est important, les destinataires sauront vous relancer.
Exemple :
- https://www.amazon.fr est sûr
- http://www.amazon-suivicolis.fr est une arnaque
- https://www.microsoft.com est sûr
- http://www.micosoft.fr est une arnaque
4. Attention aux URL raccourcies
Avec la limite de caractères sur Twitter notamment, il est devenu courant pour les sites de raccourcir les URL. Sauf que pour les arnaqueurs, c’est très pratique car cela leur permet de cacher une adresse douteuse.
En cas de doute, rendez-vous à l’astuce 6.
5. L’adresse commence par http (et non https)
Le “s” de https signifie “sécurisé”. En clair, le site utilise une connexion SSL (Secure Sockets Layer), qui permet de chiffrer vos informations avant de les envoyer à un serveur.
Si le “s” n’est pas présent, le lien peut être malveillant… même si, malheureusement, plusieurs sites sûrs n’ont pas encore mis leurs URL en https. En tout cas, cela peut mettre la puce à l’oreille…
6. Utiliser un vérificateur de lien
Et oui, ça existe et c’est bien pratique ! Depuis votre mail ou votre SMS :
- Copiez-collez l’adresse du site web qui vous pose question
- Rendez-vous sur un site de vérification de lien, comme Scanurl, VirusTotal ou Phishtank
