Comment identifier et éviter les arnaques par e-mail (scams)

Depuis les origines de la communication, les gens mentent pour tenter d’escroquer les autres. Autrefois, les escrocs avaient une chance de tromper leur monde et devaient ensuite fuir la région afin d’éviter d’être traqués et de subir un lynchage une fois que la vérité sur leurs méfaits avait été révélée. Les escrocs devaient voyager pour trouver de nouvelles victimes et éviter d’être pris. De nos jours, tout est plus facile pour ces malfaiteurs. Une grande partie de la population a accès à Internet, et donc aux e-mails, et elle constitue pour eux une réserve presque illimitée de cibles potentielles qu’ils peuvent tenter d’escroquer alors qu’ils se trouvent à des milliers de kilomètres de là.

Pourquoi les arnaques par e-mail sont-elles si courantes ?

Toute escroquerie doit en valoir la peine pour mériter d’être commise. Une arnaque digne d’être tentée doit réunir plusieurs critères :

  1. Des chances raisonnables de réussir
  2. Peu ou pas de chances d’être démasqué et incriminé
  3. Efficace en termes de coût et de temps

Les e-mails permettent de réunir ces critères dans presque tous les cas.

Des chances raisonnables de réussir

Le terme « raisonnable » évolue constamment. Si un certain type d’escroquerie a des chances de succès tournant autour d’un pour cent, il n’est pas acceptable que l’escroc doive se déplacer d’une ville à l’autre et passer quelques jours dans chacune dans l’espoir d’atteindre ce taux de réussite. Dans ces conditions, une personne malhonnête voudrait avoir des chances de succès bien plus élevées et n’envisagerait donc pas une escroquerie avec si peu de chances de fonctionner.

Cependant, en utilisant les e-mails, l’escroc peut tenter l’escroquerie sur des milliers et même des millions de cibles dans un laps de temps très court. Et un taux de réussite de 1 % sur un panel de millions de cibles fait que quasiment toutes les escroqueries deviennent « raisonnables ».

Peu ou pas de chances d’être démasqué

L’e-mail permet de disposer d’un voile presque impénétrable derrière lequel se cacher. Les escrocs n’utilisent pas leurs propres comptes de messagerie pour commettre leur crime, ils utilisent des comptes de messagerie à usage unique ou volés qui ne permettent pas de remonter jusqu’à eux facilement. La plupart du temps, les escrocs opèrent également depuis des pays avec peu ou pas de lois concernant Internet. Même s’il était possible de les identifier et de remonter jusqu’à eux, les chances de les voir poursuivis par les forces de l’ordre locales sont infimes.

Efficace en termes de coût et de temps

Alors que le coût de l’utilisation d’Internet varie considérablement en fonction des pays, son accès ne revient généralement pas très cher et reste vraiment pratique pour ce genre d’escroqueries. Dans les pays développés, presque tous les foyers ont accès à Internet. Et même dans les pays en développement, les cafés Internet sont accessibles à une grande partie de la population. Beaucoup de ces arnaques par e-mail sont réalisées par des personnes qui n’ont même pas Internet chez eux. Ils utilisent des réseaux Wi-Fi publics ou se rendent dans des cybercafés. Leurs frais généraux sont donc très réduits, voire même inexistants dans certains cas.

Un autre avantage est qu’il faut très peu de temps pour envoyer un grand nombre d’e-mails. Si le message est rédigé et qu’il ne reste plus qu’à l’expédier, il faudra à peine quelques secondes à l’escroc pour envoyer ses e-mails depuis un cybercafé avant de disparaître.

Identifier et éviter les escroqueries par e-mail les plus fréquentes

Les arnaques par e-mail et le phishing (hameçonnage) sont deux types d’escroqueries assez similaires, mais différentes d’un point de vue technique. L’objectif du phishing est généralement d’accéder à des informations en incitant une personne à divulguer ses identifiants pour accéder au site d’un service important, comme sa boîte e-mail ou son compte bancaire. Le phishing est généralement une arnaque de longue haleine, car l’accès au compte de la victime n’est pas le but en soi ; il s’agit plutôt d’utiliser cette information pour perpétrer une fraude ou mettre en place un chantage. À l’inverse, les escroqueries par e-mail sont à plus court terme. L’objectif d’une arnaque par e-mail se limite généralement à essayer d’inciter une personne à envoyer de l’argent à l’escroc.

De nombreuses arnaques consistent à vous diriger vers un site Web frauduleux à un moment donné. En utilisant un navigateur qui prend en charge Google Safe Browsing, comme Google Chrome, Safari ou Mozilla Firefox, vous serez prévenu si vous êtes dirigé vers un site connu pour être frauduleux. Toutefois, Safe Browsing s’intéresse uniquement à votre activité sur le Web. Il n’est pas en mesure de vous avertir en cas de problème de sécurité concernant un e-mail particulier que vous avez reçu.

Avec ces éléments en tête, on comprend bien qu’une escroquerie par e-mail peut prendre n’importe quelle forme, tant qu’elle a une chance de réussir. Tout ce qui correspond aux critères énumérés ci-dessus est susceptible d’être tenté par les escrocs qui agissent par ce biais. Cependant, les arnaques par e-mail qui ont déjà fait leurs preuves répondent encore mieux à ces critères. Ces escroqueries sont connues pour avoir des chances raisonnables de succès, et celles que nous avons vues se répéter encore et encore peuvent être classées dans les catégories suivantes.

Avance de frais

Le scénario d’une arnaque de type « avance de frais » est le suivant : on vous offre quelque chose d’inattendu (argent, voiture, bateau, etc.) pour une raison quelconque (loterie, parent décédé, problème sur un compte bancaire, etc.). L’escroc veut vous livrer cette chose désirable mais, pour l’obtenir, vous devez avancer des frais. Ces derniers sont souvent expliqués comme étant soit des frais d’expédition ou bien des frais juridiques. L’escroc promet de vous envoyer votre dû dès que vous vous en serez acquitté.

Les escroqueries de type « avance de frais » les plus courantes sont :

  • Le gain à la loterie
    Le principe de base est qu’un escroc vous informe que vous avez gagné à une loterie dans un pays quelconque, éventuellement le vôtre. Les gains sont substantiels, mais vous ne pouvez pas les toucher avant d’avoir réglé des frais. Ils sont généralement décrits comme étant d’ordre juridique, ou nécessaires au transfert de l’argent, et doivent être payés à l’avance. Le calcul est alléchant : vous payez 5 000 € de frais pour toucher 1 000 000 € de gains. Cependant, une fois les frais payés, vous ne verrez évidemment jamais la couleur de ces gains.
  • La fraude 419
    Les arnaques par e-mail venues du Nigéria sont tellement nombreuses que le fameux prince nigérian est devenu une référence dans la culture populaire occidentale. 419 fait référence à la section du Code pénal nigérian qui traite de la fraude. Les fraudes 419 sont similaires à celles du gain à la loterie, car vous devez également payer des frais afin de permettre un transfert d’une importante somme d’argent. Les premières fraudes 419 reposaient généralement sur l’histoire d’un riche parent inconnu qui venait de mourir et avait laissé de l’argent en héritage. Au fil du temps, cependant, les escroqueries 419 ont vraiment mis à l’épreuve la crédulité des personnes les plus naïves.

Réaction à avoir

L’escroc entame la conversation en vous demandant de lui envoyer de l’argent. Presque à chaque fois, ce type de situation se révélera tôt ou tard être une arnaque. Votre meilleure défense consiste simplement à ne pas répondre et à signaler la tentative d’escroquerie aux autorités compétentes.

Si pour une raison quelconque vous devez répondre, faites des recherches approfondies sur Internet afin d’identifier votre interlocuteur et trouver d’autres personnes qui ont eu affaire à lui. N’utilisez pas les références fournies par l’escroc lui-même, elles seront soit inexistantes ou feront partie de la fraude, et vous inciteront à lui faire confiance et à envoyer la somme demandée. S’informer hors ligne est également utile – il est très facile de créer un site Web, mais il est beaucoup plus difficile de créer une fausse référence dans un annuaire téléphonique ou dans une liste d’autorisations d’exercice établie par le gouvernement. Faites des vérifications approfondies et recoupez autant de sources différentes que possible avant d’envoyer de l’argent.

Nigerian prince email scam

Trop-perçu

La principale différence entre l’arnaque de type trop-perçu et celle de l’avance de frais est que pour ce genre d’escroquerie, vous ne recevrez pas de demande d’avance. Au lieu de cela, l’escroc commencera par vous envoyer de l’argent avant de vous demander de lui en rembourser une partie. Dans la plupart des cas, les escrocs utilisent les petites annonces et d’autres sites afin de trouver des personnes qui vendent des objets. L’escroc contacte ensuite le vendeur, lui fait une offre, puis envoie un montant supérieur au montant demandé par le vendeur prétextant une raison fantaisiste et précisant comment renvoyer le trop-perçu. Le vendeur devra soit rembourser la différence à l’acheteur, soit l’envoyer à un tiers qui transférera ensuite la somme. L’escroquerie intervient au moment où le vendeur se rend compte que l’escroc n’a pas vraiment envoyé d’argent ou que le chèque est frauduleux. Toute l’arnaque repose sur le fait que le vendeur va reverser un trop-perçu avant de découvrir que l’argent qu’il croyait avoir reçu n’a en réalité jamais été envoyé.

Réaction à avoir 

Souvenez-vous que la principale caractéristique de ce type de fraude est de vous envoyer trop d’argent et de vous demander ensuite de rembourser une partie de celui-ci ou de l’envoyer à un tiers pour une raison quelconque. L’escroc peut vous l’indiquer dès le premier contact, lorsqu’il vous dit vouloir acheter ce que vous vendez, ou attendre le dernier moment, juste avant le paiement. Dans les deux cas, il n’existe aucune raison légitime de verser de l’argent à un tiers par votre intermédiaire.

Il est également toujours utile de s’arrêter un instant et de réfléchir au principe même du trop-perçu. Si la situation était inversée et que vous achetiez un objet à quelqu’un dont vous n’avez jamais entendu parler auparavant, et à qui vous n’avez donc aucune raison de faire confiance, lui verseriez-vous de l’argent à l’avance ? Enverriez-vous une somme supérieure au montant convenu avant de lui demander de vous rembourser ou d’en transférer une partie à un tiers ? Le monde étant ce qu’il est, une telle transaction doit immédiatement vous sembler suspecte.

Catastrophes naturelles et corde sensible

Ce type d’arnaque fait appel à la gentillesse et à la sollicitude des gens pour les inciter à envoyer de l’argent à une sorte de fonds de secours aux sinistrés, ou pour sauver une portée de chiots en danger de mort. Le point fort de ce type d’arnaque est qu’elle crée un sentiment d’urgence absolue. Si la victime n’envoie pas cet argent immédiatement, quelque chose de terrible arrivera aux personnes ou aux chiots qui souffrent en ce moment même. L’arnaque repose sur le fait qu’une fois que nous sommes engagés émotionnellement, nos capacités à réfléchir de manière critique ont tendance à diminuer et nous sommes plus susceptibles de tomber dans ce type de piège.

Dans de nombreux cas, l’escroc créera des e-mails et parfois même un site Web qui ressemblent à ceux d’une organisation caritative connue. Dans d’autres cas, il inventera un nom d’organisation caritative convaincant.

Réaction à avoir 

Si vous souhaitez donner de l’argent pour une cause humanitaire, il est préférable de faire un don directement à un organisme reconnu plutôt que de répondre à un e-mail. En contactant directement une organisation comme la Croix-Rouge ou l’Armée du Salut, vous serez assuré que votre argent ne tombera pas entre les mains d’un escroc. C’est également la seule façon de recevoir un reçu de don à une association.

Si vous ne connaissez pas l’organisation qui vous envoie l’e-mail en question, suivez la règle d’or suivante : vérifiez soigneusement ses antécédents. Tous les organismes de bienfaisance et association caritatives doivent être enregistrés auprès de leur gouvernement respectif afin de pouvoir émettre des reçus fiscaux. Consultez les listes des associations reconnues par le gouvernement de votre pays pour vous assurer que celle de votre interlocuteur existe vraiment.

Arnaque au travail à domicile

Les escroqueries impliquant le travail à domicile ont un statut particulier en raison de la complexité de ce type d’emploi et c’est la raison pour laquelle elles ont leur propre catégorie. Certaines fraudes de type avance sur frais utilisent le travail à domicile comme mécanisme, exigeant que les postulants avancent des frais pour du matériel avant même d’être embauchés. Mais ce n’est pas tout à fait le fonctionnement des arnaques au travail à domicile.

Certaines personnes considèrent le travail à domicile comme un but ultime. Gagner sa vie depuis son domicile sans avoir à gérer les problèmes de transport ou de collègues désagréables est une idée très populaire. Beaucoup de gens sont donc très ouverts au travail à domicile et se laissent berner par des propositions qui n’auraient normalement pas résisté à un examen plus minutieux. Cependant, certains signes avant-coureurs ne trompent pas et indiquent que l’emploi n’a probablement jamais existé.

Réaction à avoir 

De nombreux éléments révélateurs indiquent une fraude au travail à domicile :

  • Il faut payer avant de pouvoir commencer à travailler. Bien qu’il ne soit pas rare d’avoir à fournir certaines pièces avant d’accéder à un emploi comme un extrait de casier judiciaire qui est parfois payant, devoir débourser quoi que ce soit en lien direct avec l’emploi lui-même est un signe d’avertissement.
  • La rémunération semble trop élevée au vu du poste. Si une annonce prétend que vous pouvez gagner 2 000 € par semaine en scellant des enveloppes, vous pouvez douter de sa crédibilité. Nous vivons à l’ère des chaînes de montage et des robots. Si un travail consiste à effectuer des tâches manuelles répétitives, un robot pourra s’en acquitter beaucoup mieux qu’un humain, payer une personne pour le faire n’a donc aucun sens.
  • L’offre d’emploi indique que vous devrez faire un travail qui nécessiterait normalement des diplômes. Les emplois impliquant la transcription de dossiers médicaux abondent, mais la plupart des cabinets médicaux font appel à des services reconnus pour le faire, car les conséquences d’une erreur peuvent être dramatiques. Même si certaines entreprises de transcription médicale peuvent solliciter des personnes travaillant à domicile, elles devront généralement passer des tests linguistiques et avoir des compétences spécifiques plutôt que d’être simplement capables de répondre à un e-mail.
  • L’embauche exige que vous achetiez des kits que vous revendrez ensuite, ou que vous utiliserez pour fabriquer des articles à commercialiser. Si l’emploi implique de la vente directe, comme la vente de produits cosmétiques à des amis, il est plus logique que vos amis exercent le même emploi et bénéficient aussi du prix de gros plutôt que de vous les acheter au détail. Si le travail consiste à fabriquer des articles pour ensuite les revendre, évoquons à nouveau les robots et les chaînes de montage qui sont bien plus efficaces que les humains.

Pour éviter d’être victime de ce type de fraude, soyez attentifs à ces indices. Vous devez également faire des recherches sur l’entreprise en question. Si l’entreprise a des antécédents d’escroquerie, vous trouverez sûrement des témoignages de personnes se plaignant de cette entreprise sur Internet. Inversement, s’il n’y a aucune trace de cette entreprise en ligne, c’est aussi un signe qui doit vous alerter. Presque toutes les entreprises ont un site Web, une boutique en ligne ou tout du moins une adresse e-mail, et l’absence de présence en ligne d’une société est toujours inhabituelle. Surtout si cette entreprise vous contacte par e-mail…

Fraude au PDG

La Fraude au PDG implique d’identifier la ou les personnes en charge de la gestion de l’argent au sein d’une entreprise, puis d’essayer de les amener à transférer de l’argent en usurpant l’identité d’une personne ayant l’autorité de le faire, à savoir le PDG.

Pour un escroc, il est très facile d’utiliser des services comme LinkedIn pour trouver tous les employés d’une entreprise donnée, puis de s’intéresser ensuite au poste de chacun afin de déterminer qui gère les fonds de l’entreprise et qui a le pouvoir d’effectuer des transferts de fonds. À partir de là, la tentative de fraude peut devenir très complexe et l’escroc difficile à démasquer ou rester très basique. L’arnaque de base consiste à envoyer une demande à la personne qui gère les fonds de l’entreprise en lui demandant de transférer de l’argent sur un compte bancaire. Même si le procédé peut sembler très simple, de nombreuses entreprises virent tellement d’argent au quotidien qu’une telle demande peut leur sembler normale. Les instructions contenues dans le message de l’escroc précisent généralement que le virement est urgent et pour une affaire importante. Le transfert de fonds doit se faire immédiatement afin d’éviter des pertes pour l’entreprise. Les escrocs comptent sur l’ascendant de la personne pour laquelle ils se font passer sur l’employé afin qu’il accède tout de suite à la demande.

Réaction à avoir 

Nous avons récemment pu être témoins d’une tentative de fraude au PDG qui a échoué. L’arnaque n’a pas fonctionné parce que la personne en charge des fonds dans cette société correspondait régulièrement avec le PDG et a remarqué qu’il n’avait pas l’habitude de signer ces e-mails comme celui qu’elle avait reçu, entre autres petits détails. Elle a donc simplement décroché son téléphone pour contacter son PDG, et a pu avoir la confirmation qu’il s’agissait bien d’une arnaque, évitant ainsi à la société de perdre une grosse somme d’argent.

La meilleure défense contre ce type de fraude est de vous assurer que votre entreprise dispose d’une procédure bien définie concernant les transferts de fonds, avec notamment une double vérification permettant de vérifier la validité de la demande. Un autre facteur pour éviter ce genre d’arnaque est de favoriser de bonnes relations de travail à tous les niveaux. Si les relations entre collaborateurs sont bonnes, l’employé en charge des finances de l’entreprise sera plus susceptible d’aller voir un collègue pour lui demander son avis, ou de décrocher son téléphone pour appeler directement la personne soi-disant à l’origine de la demande.

Amazon phishing email

Comment réagir et signaler les arnaques par e-mail

La première règle est tout simplement de ne pas répondre à un e-mail que vous pensez être frauduleux. Si vous recevez ce message au travail, signalez-le au département en charge de la sécurité et à votre superviseur, et laissez votre société prendre les mesures qui s’imposent.

Si vous recevez l’e-mail frauduleux sur votre boîte personnelle, il est préférable de supprimer le message ou de le signaler comme spam si votre service de messagerie propose cette option. Vous pouvez également le signaler aux autorités compétentes. Il s’agit d’une étape qui peut s’avérer utile, car ces agences gouvernementales utilisent généralement des systèmes d’alerte qui permettent de prévenir et d’informer un grand nombre de personnes de l’existence de cette escroquerie. Cela les aide également à comprendre la complexité et l’échelle de ces escroqueries, participant ainsi à développer leurs capacités à identifier les coupables.

Signalement au Canada

La Gendarmerie royale du Canada est la force de police fédérale du Canada. Elle indique les services de police à contacter en fonction du type de fraude. Elle explique également que tous les types de fraudes doivent être signalés au Centre antifraude du Canada qui recueille des renseignements sur la fraude de masse et l’usurpation d’identité au Canada.

Signalement aux États-Unis

Le Bureau Fédéral d’Investigation (FBI) est en charge de l’Internet Crime Complaint Center (IC3) qui est une plate-forme centrale qui recueille les dépôts de plaintes au regard de la fraude sur Internet. L’IC3 peut ensuite partager votre plainte avec les autorités compétentes.

Signalement au Royaume-Uni

ActionFraud est le centre national de signalement des fraudes et arnaques par e-mail au Royaume-Uni et travaille avec le National Fraud Intelligence Bureau.

Que font les Fournisseurs d’Accès à Internet ?

Les Fournisseurs d’Accès à Internet (FAI) et les fournisseurs de services de messagerie utilisent généralement un logiciel antispam complet. Ce logiciel analyse les messages que vous recevez et détermine la probabilité qu’ils soient ou non des spams. Les e-mails identifiés comme tels sont généralement placés dans votre dossier Spam ou Junk, alors que les e-mails légitimes sont envoyés vers votre boîte de réception.

De nombreux facteurs sont utilisés afin d’analyser un e-mail, mais leur action est transparente aux yeux de l’utilisateur. Ils s’intéressent notamment aux éléments suivants :

  • L’e-mail provient-il d’un serveur de messagerie autorisé ? Les propriétaires de domaine peuvent désigner les serveurs autorisés à envoyer des e-mails à leur nom à l’aide d’enregistrements DNS SPF (Sender Protection Framework).
  • Le serveur de messagerie d’envoi est-il réputé pour envoyer des spams ?
  • Le contenu de l’e-mail relève-t-il du spam ?

Certains de ces contrôles nécessitent une collaboration. Par exemple, votre fournisseur de messagerie unique peut ne pas avoir suffisamment d’informations pour déterminer si le serveur de messagerie qui a envoyé l’e-mail est réputé pour envoyer des spams. De la même façon, identifier le contenu d’un e-mail comme étant une arnaque n’est pas toujours facile, car certaines personnes recherchent vraiment des prêts à taux réduits et des médicaments sur ordonnance. Ces vérifications sont effectuées sur des listes partagées, comme les listes noires Spamhaus. Cette organisation possède une importante base de données de caractéristiques permettant d’identifier les escroqueries par e-mail. Si un message comporte certaines de ces caractéristiques, il y a de bonnes chances qu’il s’agisse réellement d’une arnaque.

Cela dit, les escrocs sont créatifs et très motivés, afin que leurs e-mails parviennent jusque dans votre boîte de réception en déjouant ces filtres antispam. Il n’existe pas de moyen infaillible d’être sûr que chaque message que vous recevez ne comporte aucun risque. Le bon sens et la méfiance restent votre dernière ligne de défense.

Où s’informer sur les nouvelles arnaques par e-mail ?

Les arnaques par e-mail évoluent en permanence et très rapidement. Certaines se répandent comme une traînée de poudre et attirent l’attention des médias et des journaux grand public, mais d’autres sont plus insidieuses, et apparaissent et disparaissent sans crier gare. C’est la raison pour laquelle il est très difficile de tenir à jour une liste des arnaques actuellement actives. Il est donc essentiel de savoir reconnaître les signes qui caractérisent une escroquerie en général, plutôt que d’essayer d’identifier ses caractéristiques spécifiques.

Dans de nombreux pays, l’état a mis en place une sorte de bureau des fraudes qui publie des alertes que vous pouvez consulter.

Le Bureau canadien de la concurrence publie régulièrement Le petit livre noir de la fraude. La fréquence à laquelle il est tenu à jour n’est pas claire, il n’est donc peut-être pas aussi pertinent qu’une liste d’alertes. Il semble cependant que ce soit le seul type d’information sur les arnaques par e-mail que produit le gouvernement canadien.

La Federal Trade Commission des États-Unis propose une page Scam Alert et le IC3 a un flux RSS d’alertes que vous pouvez consulter ici.

Le site Web « Action Fraud » du Royaume-Uni liste différentes fraudes ici.