My eBox : des e-mails de phishing en circulation

Nous rescensons de plus en plus de cas d’e-mails de spam et de phishing (hameçonnage) qui circulent en imitant une notification My eBox. Ces derniers sont particulièrement convaincants et donc d’autant plus dangereux.


Le phishing, de quoi s’agit-il ?
 

Le phishing (appelé aussi “hameçonnage”) est une escroquerie en ligne à l'aide de faux e-mails, sites Internet ou messages. Il s’agit de personnes malveillantes qui essayent de vous attirer vers leurs sites en se faisant passer pour une source fiable afin de parvenir à vous voler vos données personnelles et bancaires (mots de passe, code PIN, numéro de carte de crédit, données personnelles, etc.).

Il est facile de se faire avoir et de tomber dans le piège des messages de phishing tant ils sont de plus en plus réalistes. Bien qu’ils ressemblent fortement aux messages officiels, ces faux messages vous redirigent vers des sites frauduleux et ont bien souvent comme objectif de vous soutirer de l’argent.


Pourquoi tant de cas de phishing visant My eBox ?
 

Les messages de phishing sont présents dans de nombreux domaines mais c’est évidemment encore plus dans le cas lorsqu’il est possible d’accéder à vos données bancaires.

Par exemple : sous couvert d’un message officiel dans votre eBox, on vous demande de payer pour régler des documents du SPF Finances (une amende inexistante, un certificat qui est disponible gratuitement, des informations du Gouvernement Flamand, ...)

De plus, il faut comprendre que vous avez la possibilité de vous connecter à My eBox via votre carte d’identité ou via ITSME®. Ces informations sont des véritables clés numériques qui permettent d’accéder à vos données mais aussi à vos comptes en banque. Les fraudeurs le savent et s’en servent en vous demandant de vous connecter avec vos données personnelles. En récupérant ces données, ils peuvent ainsi accéder à vos comptes bancaires.

Certains e-mails vous redirigent vers des sites web qui sont des copies parfaites de myebox.be et à partir desquels on vous demandera de vous connecter et de compléter vos données bancaires. Et s’il y a bien une règle d’or pour se protéger contre le phishing c’est de ne jamais donner ses coordonnées bancaires via un lien envoyé par mail ou par sms !

 

Comment reconnaître ces e-mails de phishing ?
 

Les cybercriminels s’améliorent de plus en plus dans la contre-façon de ces e-mails et parfois ils sont presque impossibles à distinguer de la réalité.

Concernant My eBox, voici les éléments qu’ils faut garder à l’esprit :

  • D’APPLICATION POUR 100% DES CAS - My eBox ne va jamais vous demander de compléter des données bancaires ou d’autres identifiants que vos clés numériques CSAM nécessaires pour vous connecter.
     
  • D’APPLICATION POUR 100% DES CAS - Les messages officiels provenant de My eBox s’adressent toujours à leur destinataire en mentionnant leur nom, « Bonjour suivi de votre prénom », dans certains cas par le pseudonyme que vous avez choisi dans votre profil, jamais par « Chère Madame, Cher Monsieur » ou encore par « Cher citoyen ».
     
  • D’APPLICATION POUR 100% DES CAS - My eBox envoie uniquement des notifications depuis l’adresse myebox.noreply@bosa.fgov.be.

 

Ne cliquez jamais directement sur les liens contenus dans l’e-mail. Si vous passez votre souris sur le lien sans cliquer, vous pourrez voir le nom de domaine apparaître. Si vous doutez de la fiabilité du lien, cherchez d'abord le site web via un moteur de recherche et vérifiez l’url du site (https://myebox.be/fr) ou passez par un favori.



Que faire si j’ai détecté un e-mail de phishing ?
 

Il ne faut surtout pas cliquer sur le lien figurant dans ce mail et, en aucun cas, compléter de données bancaires.

Signalez cet e-mail d’hameçonnage au Centre pour la Cybersécurité Belgique (CCB) en le transférant à l’adresse suspect@safeonweb.be. Le CCB a été informé de la tentative d’hameçonnage et analyse ces e-mails afin de prendre des mesures pour protéger les autres citoyens.

Le Centre pour la Cybersécurité Belgique (CCB), vous donne également un aperçu de la situation actuelleliste quelques conseils afin d’apprendre à reconnaître les e-mails frauduleux et propose un test afin de vérifier votre niveau de vigilance face aux messages suspects

Depuis novembre 2021, le CCB offre également la possibilité de télécharger l’application SafeOnWeb. Cette application vous avertit des cybermenaces et escroqueries en ligne.

Si vous avez des questions supplémentaires vous pouvez nous contacter via le formulaire web My eBox.

 

Comment puis-je mettre toutes mes chances de mon côté pour éviter de tomber dans le piège ?


Quelques astuces supplémentaires :

  • Il est désormais possible de personnaliser une image dans votre profil My eBox qui apparaîtra dans toutes les notifications My eBox.
     
  • Si vous avez reçu un email dont vous n’êtes pas sûr. Vous pouvez toujours naviguer vers https://myebox.be et accéder à l’application via le lien « Ouvrir My eBox » qui se trouve sur la page d’accueil. S’il n y’a pas de nouveau message dans votre My eBox, l’email que vous venez de recevoir est une tentative d’hameçonnage.
     
  • Si vous utilisez d’autres plateformes, tels que Mijn Burgerprofiel, IRISbox, Doccle, KBC Mobile et Trusto, vous pouvez vérifier si vous avez reçu différentes notifications pour le même message eBox reçu.
     
  • Installez la nouvelle application SafeOnWeb. Celle-ci vous avertit des cybermenaces et escroqueries en ligne, ainsi que du niveau de sécurité de votre réseau wifi.



De manière plus générale, il existe plusieurs astuces afin de vous aider à reconnaître de e-mails suspect :

  • Attendez-vous vraiment cet e-mail ? Pensez, par exemple, une amende à payer qui ne concerne pas du tout vos activités.
  • Vérifiez toujours l’adresse e-mail de l’expéditeur. Soyez attentif à tout signe étrange ou incohérence dans l’adresse. Les notifications de My eBox sont toujours envoyées depuis myebox.noreply@bosa.fgov.be.
  • Gardez votre sang-froid si le message vous semble urgent. Les e-mails de phishing créent souvent un sentiment d’urgence ou de menace. Posez-vous les bonnes questions : est-ce que le message a du sens ?
     

Prêtez une attention particulière aux fautes d’orthographe ou de grammaire. Un message officiel du gouvernement ne contiendra pas ce genre de fautes de langage.

 

Quelques exemples d’e-mails frauduleux :
 

Nous n’avons actuellement pas encore recensé tous les cas ci-dessous en français et il existe beaucoup plus de cas de phishing en néerlandais concernant My eBox. Il existe également de nombreux e-mails frauduleux concernant My Burgerprofiel. Nous vous invitons à consulter la page concernant du Gouvernement Flamand concernant le phishing.

Néanmoins, nous invitons également les utilisateurs francophones à la plus grande vigilance. Il arrive de plus en plus que des utilisateurs francophones reçoivent des notifications en néerlandais.

Les e-mails frauduleux ressemblent à ceci :

  • Exemple 1 : notification par e-mail en provenance d’un faux émetteur, absence de personnalisation du destinataire (pas de nom, pas d’image personnelle), message accentué sur l'urgence  :



     
  • Exemple 2 : notification par e-mail en provenance d’un faux émetteur, absence de personnalisation du destinataire (pas de nom, pas d’image personnelle) et ancien logo :

 

  • Exemple 3 : page-copie contrefaite à laquelle vous êtes dirigé afin de vous connecter avec vos coordonnées bancaires : 


  • Exemple 4 : Plus compliqué à déceler, ici il y a un manque de personnalisation du message (pas de nom, pas d’image personnelle) :

 

  •  Exemple 5 : L’adresse d’expédition est totalement fausse. La mise en forme du message est aussi impersonnelle :