Le Hollandais Volant

Comment ne pas se faire avoir avec tous ces spam ?

Une boîte au lettres toute pourrie.
Avec toutes les fuites de données, que ce soit des entreprises privées, ou des services publics, les scameurs finissent par avoir toutes nos informations : adresse, nom, téléphone, e-mail, date de naissance; mais aussi IBAN, numéro de sécurité sociale, copie de nos passeports, plaque d’immatriculation, numéro de badge de télépéage…

Aussi, il leur devient facile de se faire passer pour la sécurité sociale, par exemple, et nous demander de payer pour obtenir une nouvelle carte Vitale : un e-mail devient beaucoup plus crédible s’il mentionne notre adresse, nom, numéro SS…

Le temps où les scammeurs arrosaient tout le monde en espérant tomber sur quelques personnes concernées est révolu : ils peuvent désormais cibler des spam et être sûr de nous faire douter.

Par exemple, je ne suis pas client chez Groupama Banque. Cela ne m’a pas empêché de recevoir des mails soi-disant de mon conseiller Groupama. Dans ces cas là, le mail est un frauduleux à 100 %. Il n’y a aucune chance que ce soit un e-mail légitime.

Mais si je suis client chez Boursorama, et que je reçois un e-mail de Boursorama, comment être sûr ? Comment savoir si l’e-mail est légitime ou frauduleux ?
Et ces cas là, qui ne sont pas dues au hasard, arrivent de plus en plus.

Il a quelques moyens d’éviter de se faire avoir, et en tout cas de bonnes pratiques pour se protéfer. En voici quelques-unes.

Ne cliquez pas sur les liens dans les e-mails

Ne cliquez pas aveuglément sur un lien dans un e-mail.

C’est tout. Ne cliquez pas.
Si vous cliquez, le scammeur sait que vous avez cliqué, même si vous n’avez « que » cliqué.

Regardez l’expéditeur

Un mail peut sembler provenir d’un site en particulier. Par exemple, en ce moment je reçois des spam se faisant passer pour Vinci Autoroute en disant que mon badge télépéage n’est pas passé et que je dois payer un certain montant.

Il se trouve que je dispose bel et bien d’un tel badge. En revanche, je n’ai pas pris le péage depuis des mois : cela met déjà la puce à l’oreille.

Mais il y a moyen d’être complètement sûr : l’expéditeur affiche, certes, Vinci Autoroute, mais l’e-mail caché derrière ne pointe pas au bon endroit.

C’est comme si je fais un lien appelé « Wikipédia » qui pointe en réalité sur Youtube : Wikipédia. C’est tout bête, mais faire attention à ça est généralement suffisant pour savoir si un e-mail est légitime :

Spam de Vinci Autoroute
Cet e-mail est une arnaque : regardez l’adresse e-mail à côté de « Vinci »

Ici, on voit bien le « Vinci » en haut, mais l’e-mail est « admin@infrarent.fi ».

Cela se termine par « .fi », qui correspond à une adresse en Finlande. À aucun moment Vinci, un groupe français, ne va utiliser un site en Finlande pour envoyer ses e-mails. Cela est donc un mail frauduleux. À 100 %.

Qui plus est, j’ai reçu exactement le même e-mail depuis d’autres adresses : romeoheatherly@romeoins.com, noreply@vashiagency.com, etc.

Aucune d’elles correspondant de près ou de loin à Vinci.

Regardez l’expéditeur… de près !

Ci-dessus, il est assez clair que l’e-mail ne provient pas de Vinci. Mais parfois c’est plus subtile.

Un e-mail de Vinci finirait par « vinci-autoroutes.com », ou quelque chose lié à leur véritable site.

Les escrocs les plus évolués le savent, et peuvent créer le site « vinci-autoroute.com » par exemple : sans le « s » à autoroutes. Ce n’est pas le site officiel : c’est donc une arnaque.

C’est subtil, mais ça arrive souvent, et il faut faire attention.

D’autres exemples, réels, incluent :

  • « microsoft.com » et « rnicrosoft.com »

Vous voyez la différence ? La première lettre passe d’un « M » à « RN ». Mais en minuscules, la différence est très subtile.

  • « ants.gouv.fr » et « ants-gouv.fr ».

La différence, c’est le tiret au lieu du point. Pourtant cela change tout : le premier est légitime, le second est une fraude.

  • « ovh.com » et « οvh.com ».

Ici, la lettre « o » de notre alphabet a été substitué par le « ο » (omicron) de l’alphabet grec. C’est impossible à voir. Mais le site web associé est bien différent.

Ne cliquez pas

Je le redis : dans n’importe quel e-mail, ne cliquez pas.

Si le site invite à vous connecter par le biais d’un bouton, ne cliquez pas.

À la place, ouvrez directement votre application Vinci, ou le vrai site Vinci, puis connectez-vous directement. Sans passer par le lien dans l’e-mail.
Au moins, vous serez sûr d’être sur le bon site.

Ensuite regardez votre compte client : dans mon cas, avec les relances pour le télépéage, j’ai vu immédiatement que Vinci ne me demandait absolument rien et qu’il n’y avait pas de retard de paiement, ni d’incident avec mon badge.

Par conséquent, ces e-mails sont des fraudes.

Cette méthode est infaillible :

  • ne cliquez pas dans l’e-mail
  • allez directement sur le vrai site, ou dans la vraie application
  • connectez-vous sur le vrai site
  • examinez votre compte

Sans cliquer dans l’e-mail.

Cela marche pour Vinci, mais aussi l’ANTS, Ameli Santé, et tout le reste :

Capture d’écran d’un spam se faisant passer pour le compte Ameli.
Notez l’email de provenance. Le lien de connexion pointe, lui, vers instamelink.com, qui n’est pas du tout légitime. Donc on ne clique pas.

Ne. Cliquez. Pas. Dans. Un. e-Mail.

J’insiste.

Prenez l’habitude de contourner les e-mails à chaque fois. Parfois les liens dans les e-mails sont très similaires aux adresses légitimes, mais ce sont des fraudes malgré tout.

Donc ne prenez pas de risques : ne cliquez pas.

À la place, allez directement sur le site depuis votre navigateur (ou l’application officielle), mais sans passer par le lien dans l’e-mail. C’est le plus important.

image d’en-tête de Mouton