Qu'est-ce que le phishing ?
Le phishing est une technique employée par les voleurs pour récupérer vos identifiants (votre nom de compte et votre mot de passe) et les utiliser à votre insu.
La personne malhonnête qui cherche à vous piéger va vous contacter (via le chat ou via email par exemple) pour vous attirer sur un site de phishing qu'elle aura auparavant créé. Cette page web imite l'apparence des sites d'Ankama mais ne nous appartient pas ! Le voleur va vous pousser à vous connecter à cette page afin de récupérer vos identifiants.
Une fois que le voleur aura récupéré ces informations, il pourra se connecter à votre compte Ankama et le piller ! Du moins, c'est ce qui risque de se produire si vous ne suivez pas les conseils suivants...
Comment survivre au phishing en 7 conseils simples
Pour ceux qui n'auront pas le courage de tout lire, voici déjà les conseils de base. Bien évidemment, nous vous recommandons de lire la totalité de l'article ! Plus vous en saurez, plus vous serez armé face à cette menace.
- Utilisez une protection Ankama (Shield ou Authenticator)
Cela compliquera grandement la tâche du voleur s'il récupère vos identifiants.
- Vérifiez l'adresse (URL) du site
Si l'adresse d'un site vous semble étrange ou inconnue, quittez-le immédiatement.
- Méfiez-vous des promesses et des menaces
Les voleurs vous promettront des cadeaux, des avantages ou vous menaceront pour vous inciter à vous rendre sur leur site factice.
- Ne téléchargez pas d'éléments inconnus
Derrière un fichier téléchargé d'apparence banal peut se cacher un keylogger, un logiciel espion qui enregistrera tout ce que vous saisirez avec votre clavier.
- Vérifiez les communications officielles
Avant de vous ruer sur un prétendu concours, cadeau, vote, bêta-test, prenez le temps d'aller vérifiez sur le site DOFUS officiel (via Google) si nous évoquons cet évènement.
- Modifiez vos mots de passe en cas d'urgence
Si vous pensez avoir divulgué des informations involontairement, modifiez tout de suite le mot de passe de votre compte Ankama et de votre adresse email.
- Soyez toujours prudent et attentif
Ne jouez pas avec le feu ! Soyez conscients que les risques existent et agissez en conséquence !
Quels sont les pièges les plus fréquents ?
Vous jouez tranquillement à votre MMORPG préféré lorsqu'un individu vous interpelle et vous invite à visiter une page web... Évidemment, il a besoin de vous appâter. Voilà le TOP 10 des accroches les plus souvent utilisées par les voleurs (mais dans lesquels les joueurs tombent encore trop souvent !):
- un concours : "Ton perso est stylé, viens participer à MISTER AMAKNA !, c'est ici"
- une loterie : "Je viens de gagner une dragodinde à la loterie, fonce yen a plus beaucoup"
- inscription à un évènement : "Jme sui inscri pour le Goultarminator, et toi ? Clique ici"
- vidéo/streaming : "Humility vient de sortir une vidéo, tape sitebidon.com dans ton nav"
- le recrutement de nouveaux modérateurs : "ankama recrute. Tpeux candidater ici : clic"
- un vote : "Tu pourrais voter pour moi sur le site dofus ? je te donnerai 10M Kamas apres"
- une mise à jour : "La refonte des sacri est sorti !! c'est trop dingue !"
- une intervention urgente du Support : "Suite à une connexion suspecte, nous avons besoin de vérifiiez vos informations de compte, veuillez nous contacter via le lien suivant."
- un risque de bannissement : "Votre compte a été reporté par plusieurs joueurs. Dans 24h, vous serez banni définitivement si vous ne vous connectez pas à votre gestion de compte"
- Bêta-test : "Viens découvrir la nouvelle classe sur la beta >>> DOWNLOAD BETA"
La liste n'est pas exhaustive mais vous donne une bonne idée de l'inventivité des voleurs. Notez que les voleurs savent s'adapter à l'actualité de vos jeux.
Faites très attention à toutes ces accroches ! Non seulement ces personnes malhonnêtes ne peuvent pas vous offrir ce qu'elles promettent mais en plus, elles pillent vos comptes et suppriment vos personnages ! Une fois sur votre compte, elles pourront même se faire passer pour vous aux dépens de vos ami(e)s.
Quelles sont les formes les plus courantes de phishing ?
Les voleurs sont très créatifs quand il s'agit de vous délester de votre précieux stuff. Nous vous expliquons ci-dessous les méthodes les plus connues mais gardez à l'esprit qu'ils peuvent innover et utiliser de nouveaux moyens pour s'emparer de votre compte.
> Le phishing dans le chat du jeu
Le plus souvent, les voleurs tentent de vous voler depuis le chat du jeu, d'où ils diffusent des liens vers des sites de phishing. Que vous connaissiez le joueur ou non, n'acceptez pas les propositions qui vous promettent monts et merveilles, la personne derrière est souvent malintentionnée.
Comme nous bloquons les liens qui ne sont pas sûrs, les voleurs les publient dans le chat et vous invitent à copier l'adresse dans votre navigateur.
Certaines personnes malhonnêtes peuvent se faire passer pour vos amis, votre meneur, en utilisant un pseudo très similaire à celui du joueur que vous connaissez. Par exemple, il est parfois difficile de distinguer un i majuscule d'un l minuscule.
Même si vous êtes sûr qu'il s'agit bien du compte d'un ami ou d'une connaissance, méfiez-vous si la personne vous demande des informations inhabituelles ou vous renvoie vers des pages étranges. Il est probable que son compte ait été piraté et que ce soit le voleur qui vous parle pour vous piéger à votre tour.
> Le phishing par email ou par Ankabox
Les voleurs peuvent également essayer de vous piéger via un faux email (ou Ankabox).
Le contenu du message reçu imite le ton et l'apparence de ceux d'Ankama. On vous invite généralement à vous connecter par le biais d'un lien et à entrer vos identifiants sur une page web factice.
Encore une fois, n'oubliez pas qu'un message venant d'un ami n'est pas forcément sûr. Les voleurs ne se contentent pas de piller le compte, ils s'en servent aussi pour diffuser des contenus interdits et tenter d'arnaquer les amis de la victime.
> Le phishing qui mêle chat en jeu et Ankabox
Il existe une variante du phishing sur le chat du jeu qui fait appel à l'Ankabox. Le voleur vous envoie un message Ankabox puis, avec un autre compte, il vous contacte pour vous parler de ce message. Avec un discours de type " Tavu la supér promo d'Ankama, je lait fé ca marche ! ", le voleur espère vous pousser vers sa page de phishing.
Encore une fois, le bon comportement est de décliner poliment l'offre et de signaler tout site ou comportement malveillant à notre équipe de modérateurs.
Comment déjouer les pièges du phishing ?
> Vérifier les liens
N'hésitez pas à contrôler les liens qui sont joints à un message. Il est possible d'avoir un aperçu de l'adresse de destination en déplaçant votre curseur sur le lien (ou bouton). Sans même cliquer dessus, vous aurez un aperçu de l'URL dans le coin bas gauche de votre navigateur. Une adresse de destination sans rapport avec l'objet du mail est probablement piégée.
> Vérifier l'apparence d'un site ou d'un message
Tout l'enjeu est de savoir différencier les vrais contenus ankamiens des messages et sites de phishing. Si certaines de ces copies sont de mauvaises imitations, décelables très rapidement, d'autres sont beaucoup plus sophistiquées et demanderont toute votre attention.
Un design obsolète, une faible résolution des images, des éléments du design différents de ceux vus habituellement (polices, illustrations, disposition des visuels) sont autant de signes qui doivent attirer votre attention. Une grammaire ou une orthographe limitées ou incorrectes sont également des signes forts.
Les sites de phishing étant de plus en plus " réussis " d'un point de vue visuel, il est indispensable de ne pas se limiter à cette méthode basique.
> Vérifier l'URL du site
Il est indispensable de contrôler l'URL (adresse web) de la page sur laquelle vous naviguez.
La présence du protocole " https " et du petit verrou signifie que la connexion est sécurisée, certifiée par des organismes de contrôle. C'est la meilleure sécurité possible !
Retenez que lorsque nous vous demandons de vous connecter à votre compte, vous êtes généralement renvoyé vers une page sécurisée, comme par exemple :
https://www.account.ankama.com
Vous pouvez trouver ci-dessous la liste des sites officiels d'Ankama :
Méfiez-vous des pages cherchant à imiter l'une de nos adresses, c'est une technique très courante pour induire le joueur en erreur. En voici quelques exemples :
Une URL qui serait erronée : http://www.account.anka-ma.com
Une URL qui serait rallongée : http://www.account.ankama.modérateur.com
Une URL qui serait raccourcie : http://www.account.anka.com
Une URL qui serait étrange : http://www.dofuusjeukne.com ou http://www.125.485.653.com
Une fois que le mal est fait...
Si malgré tous nos conseils, vous pensez avoir divulgué vos informations sur un site frauduleux, tout n'est peut-être pas encore perdu !
Vous devez être réactif et modifier le mot de passe de votre compte Ankama et de votre adresse email très rapidement. Pour apprendre à créer un mot de passe sécurisé, c'est ici : Voir base de connaissance.
Si vous réalisez (trop tard) que vous êtes victime d'un vol de compte, n'hésitez pas à contacter le support Ankama. Notre équipe pourra vous rendre l'accès au compte et vous aider à le sécuriser.
N.B : le plus souvent, les items volés ont eu le temps de transiter entre plusieurs comptes, ce qui les rend difficilement traçables. En cas de vol, l'équipe du Support ne pourra que rarement vous rendre votre stuff.
Le phishing en résumé...
On ne le dira jamais assez, la meilleure défense reste la prudence et le bon sens face à des messages ou des sites douteux.
Quand une offre est trop belle pour être vraie, c'est souvent qu'il s'agit d'un piège. Méfiez-vous également des menaces ou demandes urgentes qui vous incitent à des actions immédiates, elles cachent bien souvent une arnaque.
Demandez-vous si vous êtes concerné par ce message : beaucoup de mails de phishing sont envoyés à l'aveuglette. Si vous connaissez l'expéditeur, demandez-vous si le sujet du message est cohérent par rapport à la personne. Dans le doute, ne prenez pas de risque et effacez l'email.
Rappelons que le phishing est assimilé à une escroquerie et que celui qui la met en place risque jusqu'à 5 ans de prison et 375 000 euros d'amende...