Les arnaques par hameçonnage (phishing) utilisent des messages trompeurs pour voler les informations personnelles des victimes et accéder à leurs comptes. Dans ce premier article d’une série multimédia en trois parties sur les arnaques par hameçonnage, Reporters sans frontières (RSF) explique les risques qu’elles représentent pour les journalistes, comment les repérer et s’en protéger.
L’hameçonnage (phishing) est une forme de cybercriminalité dans laquelle les voleurs utilisent une série d’e-mails, de messages, d’appels téléphoniques et de liens trompeurs pour inciter leurs victimes à révéler leurs mots de passe et leurs informations personnelles, qui sont ensuite utilisés pour pirater leurs comptes privés. Une tentative d’hameçonnage prend généralement la forme d’un e-mail ou d’un SMS semblant provenir d’un contact connu ou d’une organisation légitime, mais provenant en réalité d’un imposteur. Cliquer sur un lien trompeur ne prend qu’une seconde, et les dommages peuvent être irréparables. Les journalistes doivent donc toujours rester vigilants lorsqu’ils reçoivent des e-mails et réfléchir à deux fois avant de divulguer des informations.
Le phishing représente un risque important pour les journalistes
Les journalistes sont particulièrement exposés aux arnaques par hameçonnage en raison de la nature de leur travail. Les gouvernements ou les entreprises peuvent vouloir traquer un journaliste, nuire à sa réputation, découvrir ses informations ou empêcher la publication d’un article.
Si un journaliste tombe dans le piège d’une arnaque par hameçonnage et révèle par inadvertance ses informations personnelles, les conséquences peuvent être très graves : il peut perdre sa crédibilité, ses revenus et mettre sa vie et celle des autres en danger. Les pirates peuvent utiliser les informations de compte volées pour identifier des sources et des contacts ; trouver, voler ou supprimer des preuves ; publier d’autres arnaques par hameçonnage depuis le compte du journaliste, auxquelles ses contacts seront plus susceptibles de se fier et de se laisser prendre ; ou identifier et contacter les contacts d’un journaliste à des fins de chantage ou de harcèlement.
Comment repérer une arnaque par hameçonnage
- Est-ce que je m’attendais à ce message ? Les journalistes doivent toujours se méfier si un expéditeur les contacte de manière inattendue.
- Le message utilise-t-il l’émotion ? Les attaquants peuvent utiliser la peur, la promesse de succès ou l’amitié pour inciter leurs cibles à agir rapidement ou de manière irrationnelle.
- Le nom de la signature correspond-il à l’adresse e-mail ? Le nom utilisé dans l’e-mail peut être différent de l’adresse e-mail d’origine. Vérifiez toujours l’exactitude de l’adresse e-mail, mais sachez que même les adresses e-mail peuvent être falsifiées.
- Y a-t-il des fautes d’orthographe ? Les e-mails d’hameçonnage sont souvent mal rédigés et comportent des fautes d’orthographe. Cela peut concerner le texte du message lui-même ou l’adresse e-mail. Par exemple, une arnaque par hameçonnage pourrait utiliser « support@rnadrid.com » au lieu de « support@madrid.com », trompant ainsi les personnes peu attentives.
- Le lien est-il exact ? Si l’e-mail contient un lien, le pirate peut faire croire rediriger vers un site web de confiance comme YouTube ou Twitter, alors qu’il redirige en réalité vers une fausse page de connexion. Pour vérifier, faites un clic droit ou passez le curseur sur le lien, sélectionnez « Copier l’adresse du lien » et collez-le dans un éditeur de texte pour afficher l’URL complète.
- Dois-je vraiment cliquer sur la pièce jointe ? Les attaquants peuvent dissimuler des logiciels malveillants dans une pièce jointe. Les journalistes ne doivent jamais cliquer sur une pièce jointe sans être absolument certains qu’elle provient d’une source légitime.
Vidéo sur la gravité du phishing
→ Lire la partie 2 : Présentation des cinq principales techniques de phishing
→ Lire la partie 3 : Comment prévenir les tentatives de phishing
Pour des informations plus détaillées, consultez la série RSF sur les attaques de phishing.