Reconnaître un email frauduleux : guide complet

Par Équipe Se Connecter Belgique · Publié le 28/04/2026 · 7 min de lecture

Le phishing par email est la première cause de piratage de comptes en Belgique en 2026. Plus de 70% des attaques commencent par un email frauduleux convaincant. La bonne nouvelle : 99% des phishing présentent au moins 2-3 signaux d'alarme reconnaissables. Ce guide indépendant vous donne les 12 signaux à vérifier en 5 secondes pour démasquer un email frauduleux.

Pourquoi vous êtes une cible

Les pirates achètent des bases de données d'emails belges sur le dark web (issues de fuites Adobe, Yahoo, LinkedIn, Equifax, etc.). Avec votre email + nom, ils peuvent envoyer des phishing de masse en se faisant passer pour :

  • Votre banque (Belfius, ING, BNP Paribas Fortis, KBC).
  • Bpost, Mondial Relay, DPD, FedEx.
  • Le SPF Finances / MyMinFin.
  • Votre opérateur télécom (Proximus, Orange, VOO).
  • Microsoft, Google, Apple.
  • Amazon, Netflix, Spotify.

Les 12 signaux d'alarme à vérifier

Signal 1 : L'expéditeur réel

Ne regardez pas le nom affiché (« Bpost » ou « Belfius »). Regardez l'adresse email réelle :

Un vrai email d'une grande organisation belge vient toujours d'un domaine officiel (.be dans la majorité des cas). Pas Gmail, Yahoo, ProtonMail.

Signal 2 : Le ton urgent et alarmiste

  • « Votre compte sera suspendu dans 24h »
  • « Action immédiate requise »
  • « Dernier avertissement avant blocage »

Les vraies organisations communiquent rarement avec urgence par email. Bpost vous laisse plusieurs jours/semaines pour récupérer un colis. Belfius vous envoie un courrier physique avant tout blocage.

Signal 3 : Liens à URL suspecte

Avant de cliquer, survolez le lien avec votre souris (sur PC) ou maintenez l'appui (sur mobile) : l'URL réelle s'affiche.

  • Le lien dit « Cliquez ici pour MyMinFin » mais l'URL est http://my-minfin.cf-tracker.com : PHISHING.
  • Vrai MyMinFin : l'URL doit contenir fgov.be ou minfin.fgov.be.
  • Méfiez-vous des URLs raccourcies (bit.ly, tinyurl) : les vraies organisations n'en utilisent pas.

Signal 4 : Demande de données sensibles

Une vraie organisation ne vous demande JAMAIS par email :

  • Votre mot de passe.
  • Votre code PIN bancaire.
  • Vos numéros de cartes complets (sauf chez vous lors d'un paiement direct).
  • Le code de votre application authenticator.
  • Votre code itsme.

Si l'email demande l'une de ces infos, c'est 100% une arnaque.

Signal 5 : Fautes d'orthographe et grammaire

Les phishing massifs sont souvent traduits automatiquement. Bizarreries fréquentes :

  • « Cher Client », « Madame, Monsieur » impersonnels
  • Constructions de phrases bizarres : « Votre compte est nécessaire vérification »
  • Ponctuation excessive : « ATTENTION!!!»
  • Caractères bizarres ou alphabet mixte (cyrillique caché dans des mots latins)

Une vraie communication d'une banque ou d'un opérateur est relue par des professionnels et ne contient quasi jamais de fautes.

Signal 6 : Salutation impersonnelle

Si vous êtes client de Belfius, ils vous appellent « Cher Monsieur Dupont » ou utilisent votre prénom : ils ont vos données. Une salutation comme « Cher Client », « Madame, Monsieur » ou simplement « Bonjour » est suspecte (le pirate n'a que votre email).

Signal 7 : Pression sur le mot de passe

« Vérifiez votre mot de passe », « Confirmez votre identité », « Réactivez votre compte » : jamais. Les vraies plateformes ne vous demandent pas de cliquer sur un lien email pour « confirmer » un mot de passe.

Signal 8 : Pièce jointe inattendue

Méfiez-vous des pièces jointes :

  • Factures « PDF » qui sont en réalité des .exe ou .scr.
  • Documents Word/Excel demandant d'« activer les macros » (vecteur courant de malware).
  • ZIP ou RAR avec des fichiers à exécuter.

N'ouvrez pas si l'expéditeur est suspect. Même un PDF peut contenir un exploit (rare mais possible).

Signal 9 : Promesses trop belles

  • « Vous avez gagné 10 000€ »
  • « Remboursement fiscal de 247€, cliquez pour le recevoir »
  • « Héritage d'un parent inconnu, contactez-nous »

Les vrais remboursements arrivent automatiquement. Les loteries ne vous contactent pas par email surprise. Les héritages passent par notaires officiels.

Signal 10 : Logo de mauvaise qualité

Les phishings massifs récupèrent les logos avec une compression ou résolution dégradée. Si le logo Belfius/ING/Amazon est flou ou pixelisé, c'est un signal. Les vraies organisations utilisent des logos haute définition.

Signal 11 : Heure d'envoi suspecte

Un email de votre banque belge envoyé à 3h du matin un dimanche depuis la Russie ? Bizarre. Vérifiez les en-têtes (en cliquant sur « afficher l'original ») pour voir l'IP source. Une banque belge envoie depuis des serveurs en Belgique/UE.

Signal 12 : Comportement après clic suspect

Si vous avez cliqué et que la page demande des infos qu'elle ne devrait pas demander à ce stade (ex : « pour suivre votre colis, entrez votre numéro de carte bancaire »), c'est forcément du phishing. Bpost ne vous demande pas votre carte bancaire pour suivre un colis.

Examples concrets de phishing reçus en Belgique en 2026

Exemple 1 : Faux Bpost

Sujet : « Votre colis est en attente — Action requise »

Expéditeur : [email protected] (faux domaine)

Corps : « Cher Client, votre colis BD-2389-FR est bloqué en douane. Réglez 1,50€ ici : [lien suspect] »

Signaux : domaine bizarre, salutation générique, somme étrangement faible, lien sur faux domaine. Voir notre guide Bpost.

Exemple 2 : Faux SPF Finances

Sujet : « Avis de remboursement — 247,89€ »

Expéditeur : [email protected] (faux sous-domaine)

Corps : « Vous bénéficiez d'un remboursement. Pour le recevoir sous 48h, cliquez ici et entrez votre IBAN. »

Signaux : les vrais remboursements arrivent automatiquement, domaine bizarre, demande IBAN par email. Voir notre guide MyMinFin.

Exemple 3 : Faux Microsoft

Sujet : « Connexion suspecte détectée »

Expéditeur : [email protected] (faux domaine)

Corps : « Quelqu'un a tenté de se connecter à votre compte. Cliquez ici pour bloquer la session ou approuver. »

Signaux : Microsoft envoie depuis @microsoft.com ou @accountprotection.microsoft.com. Le bouton mène vers un faux site qui vole vos identifiants.

Que faire face à un email suspect ?

  1. Ne cliquez sur aucun lien. Ne téléchargez aucune pièce jointe.
  2. Si doute sur la légitimité : allez vous-même sur le site officiel (tapez l'URL ou utilisez vos favoris) pour vérifier.
  3. Vous pouvez aussi appeler l'organisation (numéro officiel, pas celui dans l'email).
  4. Marquez l'email comme spam : ça aide votre fournisseur à protéger d'autres utilisateurs.
  5. Signalez à safeonweb.be ou par email à [email protected].
  6. Supprimez l'email.

Que faire si vous avez cliqué ?

  1. Si vous n'avez RIEN saisi (juste cliqué et fermé) : scan antivirus à jour, observez votre appareil. Risque limité.
  2. Si vous avez saisi des identifiants : changez immédiatement le mot de passe sur le vrai site, activez 2FA.
  3. Si vous avez saisi des données bancaires : Card Stop 070 344 344 immédiatement, plainte à la police.
  4. Si vous avez installé une pièce jointe : déconnectez l'appareil du réseau, scan antivirus en mode sans échec, en cas de doute reformatage. Voir notre guide d'urgence.

Outils anti-phishing 2026

  • Antivirus à jour : Bitdefender, Kaspersky, Microsoft Defender intègrent une protection email.
  • Filtres anti-spam de Gmail/Outlook : efficaces à 95%, mais pas parfaits.
  • Vérification d'URL : virustotal.com pour analyser un lien suspect.
  • Apprentissage continu : safeonweb.be publie régulièrement les phishings en cours en Belgique.

FAQ

Comment signaler un phishing en Belgique ?

Transférez l'email à [email protected]. Le Centre pour la Cybersécurité Belgique (CCB) analyse et bloque les sites concernés. Gratuit et utile pour la communauté.

Pourquoi mon antivirus n'a pas bloqué ce phishing ?

Les phishings sont créés en masse : nouveaux domaines, nouvelles pages chaque jour. Votre antivirus apprend les sites connus, mais peut rater les tout nouveaux (« zero-day phishing »). Votre vigilance reste essentielle.

Comment vérifier l'authenticité d'un email douteux ?

1) Adresse expéditeur réelle. 2) Survol des liens. 3) Comparer avec d'autres emails légitimes que vous avez reçus de la même organisation. 4) Aller directement sur le site officiel pour vérifier toute alerte.

Et le phishing par téléphone (vishing) ?

Mêmes principes : aucune banque, aucun service public ne vous demande votre mot de passe par téléphone. En cas de doute, raccrochez et rappelez vous-même via le numéro officiel.

En résumé : la règle des 5 secondes

Avant de cliquer sur un lien dans un email :

  1. Regardez l'expéditeur réel.
  2. Survolez le lien pour voir l'URL.
  3. Cherchez fautes d'orthographe ou ton urgent.
  4. Demandez-vous : cette organisation a-t-elle vraiment besoin de me demander ça par email ?
  5. En cas de doute, allez vous-même sur le site officiel.

5 secondes peuvent vous éviter des heures de procédures et des milliers d'euros de perte. Voir aussi notre top 10 arnaques de phishing.