Pourquoi les faux services clients et les liens de phishing sont-ils si courants ?
Sur les plateformes sociales, par email, dans les applications de messagerie et sur les sites de shopping, les utilisateurs rencontrent souvent des messages qui semblent officiels. L'expéditeur peut prétendre qu'il y a un problème avec votre compte, que vous avez enfreint des règles, qu'il est nécessaire de compléter une vérification de sécurité, ou qu'il vous demande de cliquer sur un lien pour récupérer votre compte. Ces messages sont parfois présentés sous des intitulés comme « Notification du service client », « Alerte de sécurité », « Vérification de compte » ou « Événement officiel ». Le danger réel réside dans le fait qu'ils exploitent souvent l'anxiété des utilisateurs, les poussant à cliquer sur un lien, à entrer leur mot de passe, ou même à fournir un code de vérification sans vérifier attentivement l'authenticité de ces demandes. Voici donc la méthode la plus courante utilisée par les faux services clients et les liens de phishing : ils n'attaquent pas directement vos appareils, mais vous incitent à leur donner vos informations vous-même.
Premier signal d'alerte : l'expéditeur vous demande d'agir immédiatement
L'une des stratégies les plus courantes utilisées par les faux services clients est de créer un sentiment d'urgence. Par exemple, ils peuvent dire que « votre compte va être suspendu », que « vous devez effectuer la vérification dans les 24 heures », ou encore qu'« autrement, votre compte sera supprimé définitivement », ou prétendre que vous avez violé les règles de la plateforme. Ces messages ont en commun qu'ils exigent une action immédiate de votre part, vous laissant peu de temps pour réfléchir. Les utilisateurs, lorsqu'ils sont sous pression, sont plus enclins à cliquer rapidement sur des liens ou à suivre les instructions données. Dans ce cas, la façon la plus sûre de procéder est de faire une pause. Ne vous connectez pas à votre compte via les liens dans les messages privés ou les emails, mais ouvrez l'application officielle ou saisissez manuellement l'URL du site officiel pour vérifier s'il y a effectivement un avis de sécurité.
Deuxième signal d'alerte : demande de fournir un mot de passe, un code de vérification ou un code de secours
Un véritable service client ne vous demandera généralement pas de fournir votre mot de passe, votre code de vérification par SMS, votre code d'authentification à deux facteurs ou votre code de secours. Si ces informations sont fournies à une personne malveillante, cela pourrait leur permettre d'accéder ou de contrôler votre compte. Certains escrocs peuvent prétendre vous aider à débloquer votre compte et demander un code de vérification. Ils peuvent dire « c'est juste pour vérifier votre identité », « nous avons besoin du code de sécurité que vous avez reçu » ou « il ne pourra être récupéré qu'après avoir été fourni ». Ces affirmations sont très dangereuses. Les utilisateurs doivent se rappeler d'une règle : les codes de vérification sont destinés à vous permettre de vous connecter à votre compte, et non à être fournis à autrui. Quiconque vous demande de fournir un code de vérification doit être considéré comme à haut risque.
Troisième signal d'alerte : l'URL ressemble à celle de l'officiel, mais n'est pas tout à fait identique
Les liens de phishing imitent souvent les sites officiels, mais l'URL peut être légèrement différente. Par exemple, elle peut avoir une lettre en plus, un symbole en moins, utiliser un sous-domaine étrange, ou avoir une URL trompeuse qui ressemble à un nom officiel. Certaines pages de sites de phishing sont conçues pour ressembler beaucoup à de vraies pages de connexion, intégrant même des icônes, couleurs et textes similaires. Si un utilisateur se concentre uniquement sur l'apparence de la page, il est facile de penser qu'il s'agit d'un site officiel. Ainsi, avant de saisir votre mot de passe, il est important de vérifier si l'URL est correcte. Ne vous fiez pas uniquement à l'apparence de la page, et ne croyez pas aveuglément qu'un site est sûr simplement parce qu'il affiche une icône de cadenas. Le cadenas indique seulement que la connexion est sécurisée, mais ne garantit pas que le site est un site officiel.
Quatrième signal d'alerte : la source du message ne semble pas naturelle
Les messages des faux services clients proviennent souvent de sources non naturelles. Par exemple, ils peuvent provenir de comptes inconnus, de comptes nouvellement créés, de comptes sans verifications officielles, ou de noms qui semblent officiels mais qui sont en réalité mal orthographiés. Certains escrocs usurpent même l'identité d'amis ou de personnes connues, envoyant des liens avec des messages tels que « aide-moi à voter », « aide-moi à vérifier », « ta photo a été utilisée sans autorisation », etc. Étant donné que le message semble provenir d'un ami, beaucoup de gens baissent leur garde. Toutefois, si le compte de l'ami a été piraté, ces liens pourraient également être des tentatives d'escroquerie. En cas de message suspect, il est conseillé de vérifier de la manière suivante : en appelant, par d'autres moyens de communication ou en confirmant en personne. Ne croyez pas uniquement le contenu parce qu'il provient d'un compte connu.
Cinquième signal d'alerte : le lien vous demande de vous reconnecter
Beaucoup de sites de phishing vous redirigent d'abord vers une page demande de vous reconnecter à votre compte. Soyez particulièrement prudent à ce moment-là, car cela pourrait servir à récolter vos identifiants et mots de passe sur une fausse page de connexion. Si vous êtes déjà connecté à l'application officielle, et qu'on vous demande soudainement de rentrer vos identifiants à partir d'un lien inconnu, soyez vigilant. Surtout si le lien provient d'un message privé, d'un groupe, d'un email inconnu ou d'un site avec lequel vous n'êtes pas familier, ne saisissez pas vos informations directement. La bonne pratique consiste à fermer la page en question et à vous connecter directement à partir de l'application officielle ou du site officiel pour vérifier s'il y a vraiment un problème à traiter.
Que faire lorsque vous recevez un message suspect ?
Si vous recevez un message suspect concernant un faux service client ou un lien de phishing, voici quelques précautions à prendre. Premièrement, ne vous précipitez pas sur le lien. Deuxièmement, ne fournissez pas votre mot de passe, code de vérification, code de secours ou pièce d'identité. Troisièmement, n'installez pas les fichiers ou applications inconnues qu'on vous demande de télécharger. Quatrième, vérifiez l'état de votre compte via l'application officielle ou le site officiel. Si vous avez déjà cliqué sur le lien mais n'avez pas encore saisi vos données, fermez immédiatement la page et vérifiez si votre appareil ou votre compte présente des anomalies. Si vous avez déjà saisi votre mot de passe, modifiez-le dès que possible via la plateforme officielle, déconnectez-vous des autres appareils, activez la vérification à deux facteurs et vérifiez si votre email de récupération et votre numéro de téléphone ont été modifiés.
Établir de bonnes habitudes de jugement en matière de sécurité
Les tentatives d'appels de faux services clients et de liens de phishing sont efficaces parce qu'elles exploitent souvent le sentiment d'urgence, la peur et la confiance. Les utilisateurs n'ont pas besoin de comprendre des techniques complexes ; en appliquant quelques principes de base, ils peuvent réduire leurs risques. Il suffit de se rappeler de quelques règles : ne pas se connecter via des liens inconnus, ne pas fournir de codes de vérification, ne pas croire aux messages qui demandent une action immédiate et ne pas se fiancer uniquement à l'apparence d'une page pour juger de la fiabilité d'un site. En cas de problème, il faut toujours vérifier via l'application officielle ou le site officiel. Le cœur de la sécurité en ligne n'est pas de ne jamais recevoir de messages d'escroquerie, mais de pouvoir faire une pause et évaluer quand vous recevez du contenu suspect. Cette habitude peut souvent éviter nombreux cas de piratage de compte, de fuite de données et de pertes financières.