Geeky

6 façons dont les fraudeurs par phishing imitent de vraies personnes et de vraies marques

10 novembre 2025
Lionel


Les escroqueries par phishing ont évolué bien au-delà des anciens e-mails d’« échec de paiement » ou de « problème de livraison ». Les fraudeurs utilisent désormais des tactiques beaucoup plus sophistiquées : usurper des adresses e-mail légitimes, créer de faux codes QR et même publier de fausses offres d'emploi. Voici quelques-unes des dernières astuces qu’ils utilisent pour tromper les gens.

Mélanger des caractères dans l'identifiant de messagerie

Une adresse e-mail où « rn » est déguisé pour ressembler à « m ».

Il y a quelques années, repérer une fausse adresse e-mail était simple : il suffisait souvent de jeter un coup d’œil au domaine de messagerie. Mais les escrocs sont devenus bien meilleurs pour les déguiser. Ils mélangent désormais les lettres et les symboles pour paraître authentiques, par exemple en utilisant « rn » au lieu de « m » dans « Microsoft », en remplaçant « 1 » par « l » ou en ajoutant des points et des tirets subtils faciles à manquer.

C'est pourquoi vous devriez y regarder de plus près avant de faire confiance à un expéditeur d'e-mail. Vérifiez soigneusement les mélanges de caractères ou les variations orthographiques mineures. Si quelque chose ne va pas, copiez l'adresse e-mail, collez-la dans un éditeur de texte et ajoutez des espaces entre chaque caractère : vous remarquerez souvent l'astuce instantanément. Assurez-vous également de ne pas vous laisser berner par des fautes d’orthographe ou des caractères similaires.

Proposition de collaboration trompeuse

Un email proposant une offre de collaboration trompeuse.

Il y a quelques jours, j'ai reçu un email qui a immédiatement attiré mon attention. L'expéditeur a affirmé avoir lu un de mes articles et avoir été impressionné par mon travail. Se faisant passer pour un employé d'Amazon, ils ont déclaré vouloir collaborer. À première vue, tout semblait légitime : le ton était professionnel et la mise en forme était bien réalisée.

Même l’image ci-jointe, comportant des logos et des compliments amicaux, la rendait d’autant plus convaincante. J'avoue que même si j'étudie et écrit sur les escroqueries en ligne, cela m'a presque trompé. Ils avaient même ajouté un lien LinkedIn « pour vérification ». Mais avant de cliquer, j’ai décidé d’inspecter le lien intégré et, bien sûr, il s’agissait d’une tentative de phishing.

C’était un précieux rappel que personne n’est entièrement à l’abri de la tromperie en ligne. Lorsqu'un e-mail vous semble trop flatteur ou urgent, faites une pause et vérifiez avant de cliquer sur quoi que ce soit.

Compromission de la messagerie professionnelle

Personne au visage masqué, portant un sweat à capuche et utilisant un ordinateur portable, avec des flèches et des icônes de courrier électronique flottant autour de lui. Crédit: frank_peters / Shutterstock

Business Email Compromise (BEC) est l’une des escroqueries les plus trompeuses du marché. Au lieu d'envoyer des e-mails de phishing génériques, les fraudeurs agissent comme des individus de confiance (tels que des dirigeants d'entreprise, des fournisseurs ou des partenaires commerciaux) pour inciter les employés à transférer des fonds. Ces e-mails semblent souvent tout à fait légitimes, imitant de véritables signatures, style d'écriture et domaines.

Une seule lettre échangée ou une variation de domaine peut facilement passer inaperçue. Le risque augmente lorsque l'e-mail semble provenir d'un PDG ou d'un cadre supérieur exigeant un paiement urgent : la plupart des employés n'hésiteront pas à s'y conformer. Cette confiance mal placée entraîne des pertes financières. Vérifiez donc toujours tout paiement inhabituel ou demande de données via un canal distinct et sécurisé.

Phishing personnel par code QR

Deux mains tenant un téléphone avec un code QR au centre et une icône Wi-Fi. Crédit : Lucas Gouveia/How-To Geek | Marina Demeshko/Shutterstock

Les arnaques aux codes QR sont de plus en plus courantes et plus difficiles à repérer. Les fraudeurs peuvent placer de faux codes QR sur des dépliants, des affiches ou même sur les tables des restaurants. Certains pourraient même venir à votre porte en faisant semblant de livrer un colis et vous demander de « scanner pour confirmer la livraison » pour un article que vous n'avez jamais commandé. Dès que vous analysez, le code peut installer des logiciels malveillants ou voler vos données.

En ligne, ces faux codes apparaissent souvent dans des e-mails, des messages ou des publications sur les réseaux sociaux qui semblent réelles. Ils peuvent vous conduire vers de fausses pages de paiement ou des sites de connexion. Vérifiez toujours d’où vient un code QR. Évitez de scanner les codes provenant d'étrangers ou de livraisons inattendues, et ne saisissez jamais de détails sensibles après en avoir scanné un, sauf si vous êtes sûr qu'ils sont légitimes.

Escroquerie par faux-emploi

Un homme d'affaires dans un bureau qui passe un appel téléphonique et qui regarde derrière un masque facial. Crédit: Elnur / Shutterstuck

Les fraudeurs attirent également leurs victimes avec de fausses offres d'emploi ou de fausses annonces pour voler de l'argent et des données personnelles. Ils promettent souvent des salaires élevés, des horaires flexibles ou un travail à distance « facile », puis demandent des paiements initiaux pour la formation, l'équipement ou la vérification des antécédents. D’autres demandent dès le début des informations personnelles telles que des pièces d’identité, des informations bancaires ou des documents fiscaux pour commettre un vol d’identité.

Certains mènent même de fausses « interviews en ligne », vous demandant de les rejoindre via des applications spécialisées ou des liens qui installent secrètement des logiciels malveillants. Vérifiez toujours l'entreprise et l'offre d'emploi via les pages de carrière officielles ou en contactant directement les RH. Ne payez jamais pour une candidature à un emploi, ne partagez jamais de détails sensibles et ne téléchargez jamais d'applications inconnues pour des entretiens. Si quelque chose ne va pas, c’est probablement le cas.

Phishing caché dans les documents partagés

Les fraudeurs exploitent désormais également le stockage et les documents dans le cloud pour proposer des escroqueries par phishing qui semblent tout à fait légitimes. Vous pourriez obtenir un fichier partagé intitulé « Payroll_Review_2025 » ou « Q4 Strategy Update ». Puisqu'il est hébergé sur Google Drive, il semble digne de confiance, mais ouvrir le document ou cliquer sur un lien à l'intérieur peut vous rediriger vers un faux site ou installer des logiciels malveillants.

Pour vous protéger, évitez d’ouvrir des fichiers partagés inattendus, aussi professionnels soient-ils. Vérifiez toujours l'adresse e-mail complète de l'expéditeur, pas seulement le nom d'affichage. Si vous devez examiner le fichier, accédez-y directement dans Drive au lieu d'utiliser le lien contenu dans l'e-mail. Passez la souris sur les liens avant de cliquer, activez l'authentification à deux facteurs et vérifiez périodiquement vos paramètres de partage.

Les cybercriminels sont de plus en plus innovants et inventifs pour nous faire baisser la garde. Repérer les fautes de frappe ou les liens étranges ne suffit plus : les escroqueries semblent désormais raffinées et familières. C'est pourquoi vous devez revérifier chaque message, lien ou expéditeur avant de vous engager. Les conseils ci-dessus peuvent vous aider à rester alerte et avoir une longueur d’avance.



Vous pouvez lire l’article original (en Angais) sur le blogwww.howtogeek.com