ITSkillsCenter
Cybersécurité

Comment reconnaître un email de phishing

7 min de lecture

Le phishing : la cyberattaque la plus repandue

Le phishing (hameçonnage) est une technique de fraude ou un attaquant se fait passer pour une entite de confiance (banque, operateur, administration) pour vous pousser a révéler des informations confidentielles ou a cliquer sur un lien malveillant. Au Sénégal, le phishing arrive principalement par email, SMS (smishing) et WhatsApp, ciblant les utilisateurs de Wave, Orange Money, les clients bancaires et les propriétaires de sites web.

Les 10 signes d’un email de phishing

# Signe Exemple Vérification
1 Adresse d’expediteur suspecte service@cbao-sécurité.com au lieu de @cbao.sn Vérifiez le domaine après le @
2 Urgence ou menace « Votre compte sera ferme dans 24h » Les entreprises legitimes ne menacent pas par email
3 Lien suspect Le texte dit « cbao.sn » mais le lien pointe vers « cbao-login.xyz » Survolez le lien SANS cliquer pour voir la vraie URL
4 Fautes d’orthographe « Cher client, veuilliez confirmer votre identitee » Les emails officiels sont relus et corriges
5 Salutation generique « Cher client » au lieu de « Cher M. Diallo » Votre banque connait votre nom
6 Demande d’informations sensibles « Confirmez votre numéro de carte et code PIN » Aucune entite legitime ne demande cela par email
7 Piece jointe inattendue « Facture_Urgent.doc.exe » ou « Recu_Wave.zip » Mefiance envers les .exe, .zip, .doc avec macros
8 Offre trop belle « Vous avez gagne 5 000 000 FCFA a la loterie Orange » Si c’est trop beau pour être vrai, ca l’est
9 Design approximatif Logo flou, mise en page cassee, couleurs incorrectes Comparez avec un vrai email de l’entite
10 Lien de desinscription absent ou faux Le lien « Se desinscrire » mene vers un site suspect Ne cliquez jamais sur « se desinscrire » d’un email suspect

Exemples de phishing courants au Sénégal

Phishing bancaire

Email type : « CBAO – Alerte de sécurité : activité suspecte detectee sur votre compte. Cliquez ici pour vérifier votre identité immédiatement. »

  • Indices : l’adresse d’expedition n’est pas @cbao.sn, le lien mene vers un site différent, le design est approximatif
  • Que faire : ne cliquez pas. Appelez votre banque au numéro figurant sur votre carte bancaire ou rendez-vous en agence

Phishing Orange Money / Wave

SMS type : « Wave: Votre compte sera désactivé. Confirmez vos informations sur wave-verify.com/sn »

  • Indices : Wave ne communiqué jamais par SMS avec un lien. Le domaine n’est pas wave.com
  • Que faire : ignorez et bloquez le numéro. Ouvrez directement l’application Wave pour vérifier

Phishing WordPress / Hébergement

Email type : « Votre nom de domaine monsite.sn expire demain. Renouvelez immédiatement sur hosting-renew.com »

  • Indices : le domaine d’envoi ne correspond pas a votre hébergeur, le lien mene vers un site inconnu
  • Que faire : connectez-vous directement a votre espace hébergeur en tapant l’URL manuellement

Phishing DGI / Administration

Email type : « Direction Generale des Impots : Vous avez un remboursement de TVA de 850 000 FCFA. Remplissez le formulaire joint. »

  • Indices : la DGI ne communiqué pas les remboursements par email avec formulaire
  • Que faire : contactez votre centre des impots directement

Analyser un email suspect en detail

Vérifier les en-tetes de l’email

Les en-tetes revelent le vrai expediteur :

  • Gmail : ouvrez l’email > 3 points > « Afficher l’original »
  • Outlook : ouvrez l’email > Fichier > Proprietes > En-tetes Internet
# Ce qu'il faut vérifier dans les en-tetes :

# 1. Le champ "From" affiche peut être falsifie
From: "CBAO Sénégal" <security@cbao-alert.com>
# Le domaine cbao-alert.com n'est PAS cbao.sn

# 2. Le champ "Return-Path" révèle le vrai expediteur
Return-Path: <hacker@malicious-server.ru>
# Si différent du "From", c'est du phishing

# 3. Les enregistrements SPF/DKIM/DMARC
# Un email legitime de cbao.sn doit passer SPF et DKIM
Authentication-Results: spf=pass dkim=pass dmarc=pass
# Si spf=fail ou dkim=fail, l'email est probablement faux

# 4. Le champ "Received" montre le chemin du message
Received: from mail.suspicious-server.xyz
# Si le serveur n'a rien a voir avec l'expediteur affiche = phishing

Vérifier un lien sans cliquer

  • Sur PC : survolez le lien avec la souris SANS cliquer. L’URL réelle s’affiche en bas a gauche du navigateur ou dans une bulle
  • Sur mobile : appuyez longuement sur le lien (sans relacher). L’URL complété s’affiche
  • Raccourcisseurs d’URL : les liens bit.ly, tinyurl, etc. masquent la vraie destination. Utilisez unshorten.it pour révéler l’URL réelle
  • VirusTotal : copiez l’URL suspecte et collez-la sur virustotal.com pour l’analyser avec 90+ moteurs antivirus

Phishing par SMS et WhatsApp (très fréquent au Sénégal)

SMS de phishing (Smishing)

SMS reçu Type d’arnaque Reaction correcte
« Orange: Vous avez gagne 2 000 000 FCFA. Appelez le 77 XXX XX XX » Fausse loterie Supprimer et bloquer le numéro
« Free Money: Transaction echouee. Tapez *123*1*CODE# pour corriger » Manipulation USSD Ne JAMAIS taper un code USSD dicte par SMS
« SEN Eau: Facture impayee. Coupure dans 24h. Payez ici: lien.xyz » Fausse facture Vérifier sur le site officiel ou en agence
« Votre colis DHL est bloque. Frais de douane: 15 000 FCFA. Payez via Wave » Fausse livraison DHL ne demande jamais de paiement par Wave

Phishing WhatsApp

  • « J’ai change de numéro » : message d’un « ami » depuis un nouveau numéro demandant de l’argent en urgence. Appelez votre ami sur son ancien numéro pour vérifier
  • « Code de vérification » : quelqu’un vous demande de lui envoyer un code que vous avez reçu par SMS. C’est une tentative de voler votre compte WhatsApp
  • « Lien promotionnel » : « Orange offre 50 Go gratuits, cliquez ici ». Les vraies promotions Orange sont sur le site officiel ou l’application
  • « Support WhatsApp » : « Votre compte WhatsApp sera suspendu. Envoyez vos informations a ce numéro ». WhatsApp ne contacte jamais les utilisateurs par message

Que faire si vous avez clique sur un lien de phishing

Si vous avez juste clique (sans entrer d’informations)

  1. Fermez immédiatement la page
  2. Videz le cache de votre navigateur (Ctrl + Shift + Suppr)
  3. Lancez un scan antivirus complet
  4. Surveillez votre compte dans les jours suivants

Si vous avez entre vos identifiants

  1. Changez immédiatement votre mot de passe sur le vrai site de l’entite (banque, email, etc.)
  2. Activez le 2FA si ce n’est pas déjà fait
  3. Si c’est un compte bancaire : appelez votre banque immédiatement pour bloquer les accès
  4. Changez le mot de passe sur tous les autres comptes ou vous utilisez le même (raison pour laquelle chaque compte doit avoir un mot de passe unique)
  5. Surveillez vos comptes bancaires et mobile money pendant les semaines suivantes

Si vous avez donne votre code PIN Wave/Orange Money

  1. Appelez immédiatement Wave (33 869 65 65) ou Orange Money (145)
  2. Demandez le blocage immédiat de votre compte
  3. Changez votre code PIN des que le compte est debloque
  4. Deposez plainte au commissariat

Protéger votre entreprise contre le phishing

Configuration technique

# 1. Configurer SPF pour votre domaine
# Dans les DNS de votre domaine, ajoutez :
v=spf1 include:_spf.google.com ~all
# (si vous utilisez Google Workspace)

# 2. Configurer DKIM
# Genere par votre fournisseur email, a ajouter dans les DNS

# 3. Configurer DMARC
# Enregistrement DNS TXT pour _dmarc.monsite.sn :
v=DMARC1; p=quarantine; rua=mailto:dmarc@monsite.sn; pct=100

# Ces 3 enregistrements empechent les attaquants
# d'envoyer des emails en se faisant passer pour votre domaine

Formation des employes

  • Formez tous les employes a reconnaitre le phishing (cette page est un bon support)
  • Faites des tests de phishing internes avec GoPhish (outil gratuit et open source)
  • Affichez les exemples d’arnaques recentes au Sénégal dans la salle de pause
  • Créez un reflexe : tout email suspect doit être signale au responsable IT avant toute action
  • Regle d’or : « En cas de doute, ne cliquez pas. Appelez directement l’entite sur un numéro connu »

Outils anti-phishing gratuits

Outil Type Fonction
uBlock Origin Extension navigateur Bloque les publicités et sites malveillants
Netcraft Extension Extension navigateur Detecte les sites de phishing connus
VirusTotal Site web Analyser un lien ou un fichier suspect
Google Safe Browsing Intégré a Chrome Avertit lors de la visite d’un site dangereux
Have I Been Pwned Site web Vérifier si votre email a fuite dans un piratage
GoPhish Logiciel (serveur) Simuler des campagnes de phishing pour former vos employes

Checklist anti-phishing

  • Toujours vérifier l’adresse de l’expediteur (le domaine après le @)
  • Ne jamais cliquer sur un lien dans un email/SMS bancaire ou de mobile money
  • Toujours accéder a sa banque/Wave/OM en tapant l’URL directement
  • Ne jamais partager de code PIN, mot de passe ou code de vérification
  • Survoler les liens pour vérifier l’URL réelle avant de cliquer
  • Extensions de sécurité installees dans le navigateur (uBlock Origin)
  • SPF, DKIM et DMARC configurés sur le domaine de votre entreprise
  • Employes formes et testes régulièrement
  • Numeros de service client enregistres pour vérification rapide
#détection #email #phishing
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires