Les emails ou courriels en français sont le principal vecteur utilisé par des personnes mal intentionnées pour vous attirer dans leurs filets, car il est facile et rapide d'en envoyer plusieurs milliers en quelques minutes seulement.

Mais aussi car ils peuvent servir aussi bien pour l'arnaque basique d'un petit malfrat qu'à des groupes plus structurés pour faire du phishing (vol de données et usurpation d'identité) ou encore à installer sur votre ordinateur des logiciels malveillants à votre insu (espionnage, rançongiciels, etc...).

Ce ne sont pas les dangers qui manquent quand on ouvre un email que l'on ne devrait pas ouvrir, nous vous expliquons tout ce qu'il y a à savoir sur les mails frauduleux : quels sont les risques encourus, à quoi ressemblent les mails suspects et nous terminerons avec nos conseils pour apprendre à les reconnaître.

Quels sont les risques quand on clique sur des mails frauduleux ?

Comme évoqué en introduction ce ne sont pas les techniques et les escroqueries qui manquent dans ce domaine et nombreux sont les dangers qui vous guettent si vous cliquez là où vous n'auriez pas du cliquer...

Il y a de nombreuses personnes mal intentionnées qui peuvent se cacher derrière et même souvent des sociétés, oui des entreprises qui gagnent leur vie en essayant de récupérer les données personnelles des honnêtes gens pour les monnayer ensuite.

Et il est très simple pour eux d'envoyer des milliers, des centaines de milliers voir même des millions de mails en passant par des sociétés peu scrupuleuses qui rachètent des listings, les compilent et les revendent ensuite à qui est prêt à payer.

Nous avons justement reçu récemment une offre de Russie nous proposant d'envoyer 1 million de mails pour 49$ soit environ 40€ pour 1.000.000 de mails ce qui revient à 0.0004 centime le mail envoyé à une victime potentielle.

Et sur 1 million de mails envoyés il suffit qu'un seul réceptionnaire tombe dans le panneau pour récupérer sa mise, tous les autres c'est de l'argent gagné pour ces personnes sans foi ni lois qui pour certaines arrivent à détourner des sommes considérables.

Car le premier risque est de sans le savoir, sous couvert de vous faire gagner un cadeau ou autre récompense alléchante, de donner ses données personnelles à des sociétés qui vont en faire des listings ciblés qu'ils vont ensuite revendre à d'autres pour faire de la publicité (mailing, démarchage téléphonique, etc...).

Le second risque c'est l'escroquerie financière avec des personnes mal intentionnées qui vont essayer de vous persuader qu'ils ont besoin de votre aide afin que vous leur fassiez parvenir de l'argent en espèces (mandat cash, Western Union, etc...).

Les cordes sont multiples et là aussi il est assez simple d'envoyer des milliers de mails identiques pour tomber sur un personne compatissante qui va tomber dans le panneau, ils utilisent des thématiques qui permettent de repérer les personnes fragiles : peines de cœur, problèmes de santé, rencontres amoureuses, etc...

Le troisième risque c'est le phishing qui vous incite à donner vos données sensibles afin de vous les voler, là nous évoquons des pratiques de vol d'identité ou de vol de données bancaires qui peuvent vous coûter cher et apportent beaucoup d'ennuis.

La technique consiste à se faire passer pour une administration très sérieuse ou votre banque afin de vous mettre en confiance, mais ils utilisent aussi l'appât du gain comme ficelle tout comme pour les sociétés publicitaires.

Le quatrième risque c'est l'installation de logiciels malveillants sur votre ordinateur qui sont cachés dans une image par exemple ou autre document à télécharger, ou encore en cliquant sur un lien ou un bouton d'appel à action (call to action).

Il existe de nombreux types de logiciels qui vont pouvoir soit enregistrer tous vos faits et gestes pour récupérer les informations aux mêmes fins que cité ci-dessus, mais aussi des logiciels capables d'activer votre webcam à distance pour vous espionner sans que vous vous en rendiez compte.

Mais aussi des virus qui vont tout simplement rendre inutilisable votre ordinateur et plus récemment des ransomwares (rançongiciel) qui vont entièrement crypter votre ordinateur qui deviendra inutilisable, avec une demande d'envoi d'argent pour le débloquer.

Voilà pour les différents types de mails malhonnêtes que l'on peut recevoir, et si l'on intègre ceux de sociétés peu reluisantes qui en ont fait un business vous en recevez certainement tous les jours, nous en recevons ici en moyenne entre 2 et 3 par jour soit environ 1000 mails suspects par an !

Plus concrètement à quoi ressemblent les emails suspects

Sur un millier de mails suspects reçus chaque année le risque de se faire avoir augmente et il est donc important d'avoir les bons repères et les bons réflexes pour les détecter, car les techniques sont similaires quelque soit la finalité du mail frauduleux.

Le plus courant est de vous faire croire que vous avez gagné un cadeau ou une somme d'argent, les escrocs n'hésitent pas à utiliser le nom de grandes sociétés : Air France, Amazon, Cdiscount, Disney, Free ou encore L'Oréal par exemple.

Les mots utilisés pour vous attirer le chaland sont accrocheurs : « vous avez gagné »,« tentez de gagner », « invitation » ou « vous avez été sélectionné », tous vous font miroiter un gain non négligeable : le dernier iPhone, un chèque, une carte cadeau ou encore un beau voyage.

Plus insidieux les mails peuvent aussi être sous la forme d'un « sondage » ou d'un « test de produit » gratuit car après les mots « cadeau » et « gagner » le troisième plus utilisé pour vous attirer est « gratuit ».

Tous ces mails trop beaux pour être vrais ont pour seul but de récupérer vos données personnelles (nom et prénom, adresse mail, numéro de téléphone, adresse postale) afin de les utiliser sous forme de listings qui sont ensuite vendus à des publicitaires pour faire du démarchage.

Ensuite les tentatives d'escroquerie qui sont heureusement moins nombreuses mais plus graves sont les mails qui se font passer pour une administration ou une banque, là encore le but est de récupérer vos informations mais pas uniquement basiques.

Ces mails ont pour but vous inciter à agir vite face à un danger imminent comme une tentative de fraude sur votre compte ou autre problème à régler d'urgence, on retrouve donc les mots clés « attention », « urgent » ou encore « nécessite une action rapide ».

La différence est que l'escroc ici a besoin de vous faire cliquer sur un lien pour vous envoyer vers un faux site sur lequel vous allez être incités à rentrer vos données sensibles sans savoir que vous êtes en train de les transmettre à la personne mal intentionnée.

Plus complexe le phishing nécessite de mettre en place un faux mail et un faux site internet très ressemblants aux vrais avec logos et autres éléments visuels, et donc des connaissances plus poussées en informatique et en codage.

Ici ce sont donc plutôt des hackers malhonnêtes qui sont à l'oeuvre. Ils n'hésitent pas à intégrer de faux numéros de dossiers ou de documents officiels pour faire le plus vrai possible, voir à mettre les liens vers le vrai site ou numéro de téléphone en fin de mail, l'urgence vous incite à ne pas vérifier la véracité du mail reçu.

Et les implications plus graves puisque ces données sensibles sont utilisées pour du vol d'identité ou de données bancaires qui vont permettre d'usurper votre identité pour faire des choses illégales ou vider vos comptes bancaires, la finalité n'est pas la même : gagner de l'argent pour les sociétés et vous le voler pour les escrocs.

Il en est de même pour le dernier level qui lui a pour but toujours de vous faire cliquer sur un lien, télécharger une image ou autre document (vidéo, infographie, etc...) qui va lancer l'installation d'un logiciel malveillant sur votre ordinateur.

Invisibles ces logiciels vont soit bloquer votre ordinateur soit au contraire permettre au hacker d'en prendre le contrôle à distance pour exploiter tout ce qu'il y a dedans : chantage, espionnage, vol de données, demandes de rançons, etc...

Ici les mails frauduleux vont jouer sur les mêmes ficelles que pour le phishing puisque la finalité est la même mais aussi sur des univers spécifiques comme la sexualité, on retrouve donc régulièrement les termes « sexe », « rencontres » ou encore « webcam ».

Conseils pour apprendre à détecter les emails suspects

Nous avons déjà donc de quoi repérer les mails frauduleux qui ont des sujets et des techniques d'approche similaires, le premier enseignement à en tirer pour les repérer ce sont les ficelles utilisées : soit un gain (cadeau, argent) soit une urgence (administration, banque) soit une rencontre.

Il ne faut pas se fier au nom de l'expéditeur qui n'a souvent rien à voir avec l'expéditeur du mail, il peut être indiqué Free ou Amazon mais ce sont en fait des sociétés spécialisées dans la récupération de données personnelles à but lucratif qui envoient le mail et pas la société indiquée.

Pour vérifier l'adresse mail de l'expéditeur c'est très simple puisqu'il suffit sur la plupart des boites de réception de survoler le nom de l'expéditeur avec sa souris et de laisser le pointeur positionné dessus sans cliquer (voir photos ci-dessous).

L'adresse mail qui a expédié le courriel s'affiche par dessus, si l'adresse mail indiquée n'a rien à voir avec l'entreprise désignée déjà vous savez qu'il ne vient pas d'elle. Elles sont souvent longues et sans aucun rapport voir même une succession de lettres et/ou chiffres qui ne veulent absolument rien dire.

Si vous voyez dedans les lettres « ad » ou « ads » c'est un indicateur que c'est une société qui veut récupérer vos données puisque ad est l'abréviation de advertising, mot anglais qui veut dire publicité en français. 

Idem pour les termes « marketing » qu'il n'est pas nécessaire de traduire ou « sales » qui veut dire promotion en français, tous ces mails émanent de sociétés qui gagnent leur vie en monnayant vos données personnelles.

Mais aussi tout ce qui est « bons plans »,  « buzz » ou encore  « jeu » et  « concours », les sites sérieux de ce type comme le nôtre respectent bien trop leurs lecteurs pour faire des campagnes de mailing à des fins lucratives, certains se lancent dans ce secteur pour l'argent et d'autres comme nous par passion.

Autre indication il n'est pas rare de recevoir plusieurs fois le même mail parfois le même jour ou sur deux ou trois jours consécutifs, les petites icônes qui font joli sont également quelque chose d'assez rare dans les vrais mails importants, le but est de vous attirer.

L'extension est également un élément de vérification, l'extension c'est tout ce qu'il y a derrière le « @ ». Par exemple @economie.gouv.fr ou @paypal.fr pour de vraies adresse mails alors que les mails frauduleux vont souvent avoir des extensions qui n'ont aucun rapport avec le nom d'expéditeur indiqué.

De la même manière les grandes entreprises, banques et autres administrations n'ont pas d'adresses mail qui se terminent en « @gmail.com » ou en « @la-poste.fr » donc si vous recevez un mail reprenant le nom d'une grande société mais qui se termine par une extension de ce type c'est là encore un mail frauduleux.

Par exemple notre adresse mail est "contact@tests-et-bons-plans.fr" et non pas "tests-et-bons-plans@gmail.com", les adresses mails officielles de sites internet reprennent son url après le @ mais jamais avant, cette partie nommée "allias" est dédiée aux différents services (contact, promotions, presse, service-client, etc...).

Dans les photos prises ci-dessus vous avez un bon exemple également avec l'adresse mail "amazon.fr@adrima.com" qui ne vient pas d'Amazon puisque un email de leur part serait de type "xxx@amazon.fr" comme nous l'expliquions ci-dessus.

Vérifiez également les "fotes d'orthaugraphe" qui sont assez récurrentes dans les mails frauduleux, mais parfois c'est plus finement fait et les escrocs utilisent des adresses mail d'envoi qui ressemblent à la vraie pour mieux vous tromper, néanmoins si elle arrive dans vos spams elle est suspecte.

Car il est rare que les vrais mails d'administrations ou de votre banque arrivent dans le fichier spam, notre conseil en cas de doute sur un mail émanant d'un établissement de ce type est de ne surtout pas cliquer sur les liens et images qu'il contient.

La meilleure chose à faire est d'ouvrir une nouvelle fenêtre de navigateur et de vous rendre directement sur le site officiel de la banque ou de l'administration concernée comme vous le faites habituellement ou via une recherche sur Google.

Vous vous connectez à votre compte et si vous avez réellement reçu un email vous le retrouverez dans l'espace messagerie du site, si il n'y a rien c'est certainement que c'est un mail frauduleux qui ne vient pas de votre banque ou de l'administration donc ignorez le.

Si vous avez toujours un doute après cette vérification n'hésitez pas à appeler l'organisme concerné via le numéro de téléphone indiqué sur le vrai site officiel pour obtenir plus de renseignements. Car certains mails sont vraiment très bien faits et particulièrement trompeurs.

Pour résumer les mails suspects exploitent toujours les mêmes ficelles :

• un gain : cadeaux, carte cadeau, chèques, voyages, etc...

• une urgence : administration, assurance, banque, impôts, etc...

• un centre d'intérêt : concours, invitation, sondage, rencontre, sexe, etc...

Ils usurpent l'identité d'une entité sérieuse :

• Entreprises : Amazon, Canal+, Free, Orange, etc...

• Administrations : CAF, centre des impôts, gouvernement, police, etc...

• Services : banque, assureur, PayPal, voyagiste, etc...

En règle générale donc vous devez être vigilant à tous les mails qui arrivent comme spam, il arrive qu'un vrai mail important arrive dans ce dossier mais la grande majorité sont envoyés là par votre service de messagerie pour une bonne raison.

Il est d'ailleurs conseillé de paramétrer votre boite mail sur un niveau de sécurité « haut » afin qu'elle fasse un tri efficace des mails reçus et bloque les images des spams, prenez l'habitude de survoler avec votre souris le nom de l'expéditeur pour vérifier l'adresse mail d'envoi.

Au moindre doute ne cliquez pas et ouvrez une nouvelle page de navigation pour vérifier sur le site officiel que vous retrouvez la même information et si besoin contactez les pour vous assurer qu'ils vous ont bien envoyé un mail.

Si vous avez des activités de type « bons plans » sur internet avec pour habitude de répondre à des sondages, de participer à des jeux concours ou autres passe temps similaires mieux vaut créer une seconde boite mail dédiée à ces activités et ne pas utiliser son adresse mail principale car ils sont souvent source de démarchages ensuite.

Ne faites confiance qu'aux vrais instituts de sondages et aux sites de bons plans dans lesquels vous avez confiance puisque là encore beaucoup de sites et blogs dans cette catégorie sont là pour gagner de l'argent plus que pour vous faire profiter de vraies bonnes affaires.

Enfin ne soyez pas crédule bien souvent quand quelque chose est gratuit sur internet c'est que c'est vous le produit, il y a de vrais bons plans que nous essayons de vous relayer mais la plupart sont juste des façons détournées de récupérer vos données personnelles à des fins lucratives (publicité et démarchage).

Si c'est trop beau pour être vrai il y a de grandes chances que ce soit une arnaque et si vous ne participez à aucun concours il n'y a pas de raisons qu'on vous envoie un iPhone ou un chèque, si on vous demande de donner vos données personnelles sensibles c'est également très louche.

Si vous recevez un mail suspect vous pouvez le signaler au ministère de l'intérieur sur le site dédié : www.internet-signalement.gouv.fr

Pour plus d'informations vous pouvez lire ces articles :

• Service Public

• économie.gouv.fr

• impots.gouv.fr

• Que Choisir

• Blog Avast

Nos articles similaires :

• Conso : les 5 méthodes de piratage favorites des hackers

• Conso : tout savoir sur la sécurisation des objets connectés

• Conso : nos conseils pour bien protéger son ordinateur

• Conso : nos conseils pour bien sécuriser son smartphone

• RGPD : configurer la sécurité de son compte Google (tutoriel)

Tous nos articles d'aide à la consommation