HYPERDRIVE #41 - Le phishing parfait, startups et agences recrutent en Freelance et CDI !

Cette semaine : mon mot du jour, des plans missions freelance et CDI, le petit sondage, puis quelques liens sympas !

Un ami vient de se faire avoir comme un bleu sur une campagne de phishing. Quel blaireau ! Bon en vrai cet ami, c’est moi. J’ai tellement honte que je voudrais garder ça pour moi mais c’est aussi l’occasion de sensibiliser encore et toujours sur les risques en ligne. Et qui dit phishing dit UX, UI, parcours utilisateurs et maintenant, IA.

J’étais donc hier soir tranquillement en train de réserver des billets de spectacle pour ma fille quand je reçois un email de la SNCF.

Une super promo comme la SNCF sait faire. Une promo sur les cartes de réduction. Le branding est là, le contenu aussi, mon nom dans l’objet, la promo vente Flash pendant la période du Black Friday, ma garde baisse directement.

Sans tous ces éléments de contenu et de design de qualité, j’aurais vérifié l’expéditeur “ebusinessgroup@zenithbank.com”. Mais l’exécution était trop bonne.

Donc je clique, ou plutôt “je fonce”.

J’arrive sur un captcha. Je me dis sur le moment que c’est inutile ce type de captcha car facilement craquable par un bot, mais je le remplis quand même. Ironique, non ?

Le domaine sncf-offres.com est lui très crédible. Assez exceptionnel pour un escroc de mettre la main sur ce genre de domaine.

A noter également que le certificat SSL est parfaitement valide. Le SSL garantit simplement le chiffrement des données qui transitent via le site. Il ne garantit en aucun cas l’honnêteté, la fiabilité ou la qualité du site.

Une fois sur la page, le Design System de SNCF Connect est “parfaitement” repris. Animations en hover, tooltip. Formulaire de données et page tunnel de commande parfaitement exécuté. (Le site est down, je n’ai pas pu faire les screenshots moi-même dommage).

Et donc je paie 2,45€.

Et ces enf***rés poussent le détail jusqu’à m’envoyer un e-mail de confirmation de commande !!!

Et c’est en voyant l’expéditeur “merci@mail-sncf-connect.com” que je tique. Je reviens sur le site, je commence à cliquer partout et bien sûr dès qu’on sort du parcours de commande nominal, rien ne marche.

Je traverse les 5 étapes du deuil en 30 secondes, j’appelle ma banque, je fais opposition. Pfffff.

J’en profite pour rappeler les bonnes pratiques :

• Toujours vérifier l’expéditeur : regarder l’adresse complète, pas seulement le nom.

• Toujours vérifier le domaine du site : méfiez-vous des exotismes.

• Repérer les fautes d’orthographe, les erreurs graphiques et les messages trop pressants.

• Ne jamais agir dans la précipitation (facile à dire).

• Optez pour des protections anti-phishing directement dans le navigateur.

• Toujours vérifier l’URL avant d’entrer des infos bancaires.

Mais comment douter quand :

• Nielsen Norman Group : la première impression se forge en 0,05 seconde. Ce laps de temps est trop court pour lire quoi que ce soit. Donc l’impression de confiance vient forcément de l’apparence : logo, couleurs, spacing, cohérence, style, hiérarchie.

• Rapports de l’ANSSI et de l’ENISA : plus le visuel ressemble au vrai, plus le taux de conversion frauduleuse explose.

• Stanford Web Credibility Project (Fogg, Stanford University) : 75 % des utilisateurs jugent la crédibilité d’un site d’abord sur son design. Pas sur le contenu, pas sur le nom de domaine : le design. Ils appellent ça “visual credibility”.

Nous avons construit un monde où la qualité du design est devenue LE marqueur de confiance. Un site bien exécuté rassure, un design soigné crédibilise, et une identité visuelle cohérente suffit souvent à distinguer une marque sérieuse d’une imitation douteuse.

Mais ce principe repose sur l’idée que les scammers seraient des billes en design. Ce n’est plus vrai.

Dans un monde où l’IA peut produire et reproduire en quelques secondes un site d’une qualité presque irréprochable : que nous reste-t-il ?

Allez, après cet édito plein d’espoir, place aux annonces de la semaine !

---

Une histoire de l’internet :

Le tout premier e-mail de l’histoire avait pour contenu… « QWERTYUIOP », soit la ligne supérieure du clavier américain.

En 1971, son créateur Ray Tomlinson voulait simplement tester son invention : un message numérique envoyé d’un ordinateur à un autre, via un réseau, avec une adresse contenant un @.

L’e-mail moderne était né.

“Le premier e-mail a été envoyé en 1971.”

---

---

En bref :

N’oubliez pas de toujours postuler de ma part et de checker mon post Linkedin de demain qui aura sûrement d’autres annonces arrivées d’ici là ;)

• AGENCE - Fadi H. recherche une agence pour la création d’un site de vente automobile.

• FREELANCE - FREEBIRD recherche une ou un DA Social Media pour une mission longue chez un acteur du paris sportifs.

• FREELANCE - Benjamin C. recherche une ou un Senior Product Designer pour une mission longue et full time.

• FREELANCE - IKARUSPROD recherche une ou un Motion Designer, avec une sensibilité luxe.

• FREELANCE - La mairie Bailly-Romainvilliers recherche une ou un Graphiste.

• FREELANCE - Maison Digital recherche 2 talents : Brand Designer et Webdesigner spécialisés dans le Néobrutalisme.

• FREELANCE - Digital Prod recherche une ou un Senior Project Manager.

• FREELANCE - Watt recherche une ou un dessinateur pour enrichir les créations du studio.

• FREELANCE - Hublot Conciergerie recherche une ou un Graphiste pour revoir leur slide deck (ppt/Canva).

• CDI - Alasta recrute plusieurs talents : Senior Designer, Senior Brand Strategist, Designer alternant et d’autres.

• CDI - Digital Virgo recrute une ou un Product Manager TV, avec une bonne expérience sur des plateformes de streaming vidéo, sur Aix-en-Provence.

• CDI - Source recrute une ou un Senior Product Designer, très capé.

• CDI - Ledger recrute une ou un Product Designer.

• CDI - Pictarine recrute une ou un Lead Product Designer.

---

PETIT SONDAGE

Chargement...

---

LIENS SYMPAS

Spécial sensibilisation cyber :

• « Carte Avantage à -95 % » : c’est le retour des fausses promotions SNCF, gare à l’arnaque.

• Riot, 1ère solution de suivi en temps réel de la cybersécurité des employés.

• “J’ai infiltré un réseau d’arnaqueurs au SMS.”

• “Chinese hackers used claude for nearly-autonomous cyberattacks!”

• The Modern Attack Landscape: Telegram, the Dark Web, and the New AI-Powered Phishing Threats.

• Tykit is a sophisticated phishing-as-a-service (PhaaS) kit that emerged in May 2025.

---

À LA PROCHAINE

Likez et laissez un commentaire sur cet article, c’est toujours sympa ! 🙌

À la semaine prochaine !
François

Comments

[Lepressing]

Merci et encore 🙏

[Céline]

J'ai failli me faire avoir par la même campagne de phishing il y a quelques temps, heureusement pour moi j'ai senti l'arnaque avant d'aller jusqu'au bout (des cartes à 2€ à la SNCF, impossible !).

Tu as pu faire opposition sans problème auprès de ta banque ?