Hameçonnage, c’est quoi ? | Comment se protéger ? | Exemples et Quiz

Vous connaissez l’hameçonnage ? En anglais on le nomme phishing ce qui signifie littéralement “pêche aux victimes“. Même s’il existe des filtres de plus en plus sophistiqués pour nous protéger, aucun n’est efficace à 100% ! La technologie s’adapte et évolue mais elle reste un complément à la vigilance de l’utilisateur. La clé de la protection c’est l’utilisateur lui-même. Comment se protéger de l’hameçonnage ? Réponses très concrètes dans cet article !

Comment fonctionne l’hameçonnage ?

Le principe est assez simple. Vous recevez un message (mail, sms ou appel téléphonique) qui semble sérieux. Il semble provenir d’une entité de confiance (administration, banque,…etc). On vous demande souvent d’agir rapidement et de communiquer des informations personnelles.

Le but de l’arnaque : Voler vos données personnelles pour en faire un usage frauduleux. Votre mot de passe, votre numéro de compte, vos justificatifs de domicile, …etc permettent ensuite à l’escroc de voler votre identité, d’ouvrir un compte bancaire en ligne ou de souscrire à des crédits en votre nom par exemple.

La principale méthode d’action : Envoi d’un sms, d’un mail ou appel téléphonique qui a vraiment l’apparence d’un mail officiel de sa banque, de son opérateur téléphonique, d’un site de e-commerce,…etc.

Les cibles : Les particuliers mais aussi les entreprises et les collectivités territoriales comme une mairie par exemple.

Les risques du phishingDanger
Argent volé sur votre compte bancaireAtteinte aux finances personnelles
Souscription de services, achats avec votre identitéVol identité
Perte d’accès aux photos, vidéos et fichiersDonnées personnelles
Fausses publications sur les réseaux sociauxRéputation en ligne
Les cybercriminels se font passer pour vous après de prochesMise en danger des proches

4 habitudes simples et efficaces contre l’hameçonnage

Même s’il faut le reconnaître, les escrocs sont particulièrement inventifs pour leurrer leurs proies, il est tout de même possible de les démasquer. Voici quelques mesures de prévention à prendre dès maintenant.

Ne jamais communiquer d’informations sensibles par messagerie ou téléphone

Une société sérieuse ou une administration ne vous demandera pas de communiquer des données sensibles comme des mots de passe par mail ou téléphone. Et il est peu probable qu’un inconnu vous propose réellement de bénéficier d’un héritage !

De plus en plus d’entreprises mettent en place d’autres moyens de vous identifier au téléphone quand vous les contactez. Ils vous demandent par exemple de décliner votre nom et adresse ou d’indiquer un identifiant ou un numéro de client. Mais, on ne vous demandera pas votre mot de passe personnel.

Contacter directement l’organisme concerné

Vous recevez un mail “URGENT votre compte va être bloqué” de votre banque qui paraît suspect et qui vous enjoint à agir rapidement ? Vous avez un doute ?

Alors fermez le mail et contactez directement votre banque pour confirmer le message et faire le point directement avec eux.

Ne rappelez pas le numéro indiqué dans le mail, ne cliquez pas sur les liens contenus dans le mail et n’y répondez pas.

 

Bien choisir ses mots de passe

Il est essentiel, indispensable, incontournable (oui j’insiste!) de choisir des mots de passe complexes et différents pour chaque site. C’est tellement important que ce point à fait l’objet d’un article complet. Vous pouvez le découvrir ici : Cybersécurité | Bien choisir ses mots de passe pour éviter les attaques

Il contient des astuces simples pour retenir des mots de passe complexes et surtout les retenir !

La double authentification


De plus en plus de sites vous proposent (parfois ils l’imposent et c’est tant mieux !) la double authentification. De quoi s’agit-il ? Plutôt que d’accéder à votre compte uniquement avec un mot de passe, vous devez passer deux étapes pour vous connecter. La seconde étape prendre souvent la forme d’un code reçu par sms à saisir.

C’est un moyen très efficace pour bloquer les escrocs. Ils ont peut-être récupéré vos données de connexion mais ils n’ont pas votre téléphone portable pour recevoir le code à saisir. Ils seront donc bloqués !

Je sais, parfois c’est un peu contraignant de prendre quelques minutes de plus pour se connecter à chaque site avec la double authentification. Mais, je vous assure qu’en cas de vol d’identité, quand un escroc aura peut-être vidé vos comptes… vous vous en voudrez certainement de ne pas avoir accepté de [perdre] prendre ces quelques secondes de plus à chaque connexion !

 

Comment repérer le phishing ?

Image
E mail frauduleux semblant provenir du service des impôts.

Voici un mail frauduleux semblant provenir des impôts. Logos, en-têtes, couleurs voire même fausses signatures, ✅l’illusion semble parfaite. Le message renvoyait à un site internet frauduleux imitant lui aussi un site officiel qui demandait à l’internaute de fournir entre autres son numéro de carte bleue !

Ce mail va nous servir de cas pratique pour déterminer tous les indices qui auraient pu permettre aux destinataires de 🛑 repérer le phishing !

🧐 Est-ce que vous avez déjà repéré des indices ?

Le destinataire du mail

Les escrocs sont malins mais pressés. Donc, ils envoient en général un mail générique à un grand nombre d’utilisateurs en même temps. Le mail est donc [en général mais pas toujours] très peu personnalisé.


En plus, l’escroc ne connaît pas forcément votre opérateur, donc si vous recevez un mail concernant une facture ou un dossier qui ne vous parle pas ou même provient d’un autre opérateur que le vôtre, c’est surement une arnaque ! Vous pouvez aussi recevoir une facture pour un produit que vous n’avez pas acheté !

🧐 Dans le mail ci-dessus, aucune information personnelle n’apparaît pas même votre nom par exemple.

Malgré tout, ces dernières années, les professionnels indiquent que les hackers enquêtent parfois quand ils veulent piéger une entreprise ou une organisation. Ils essayent de déterminer les principaux partenaires de l’entreprise en question pour rendre le contenu de leur mail plus crédible. Il faut donc redoubler de vigilance quand il s’agit d’un mail reçu sur une boîte professionnelle.

L’expéditeur du mail

Sur ce point soyez très attentif. Qui vous envoi le mail ? Le service client d’une grande marque ne vous enverra pas des courriels avec une adresse mail privée comme @gmail.com par exemple !

Attention également aux mails provenant de personnes que vous connaissez (ami, collègue de travail, connaissance, …). S’ils vous demandent des informations confidentielles étranges, leur boîte mail a pu être piratée. Contactez la personne par un autre moyen pour vérifier.

Parfois, dans le mail, une adresse mail du vrai service client est indiquée pour convaincre l’utilisateur que le mail provient bien de l’entreprise en question.

Les 5 principales marques usurpées en 2020 sont selon vadesecure :

  • Microsoft
  • Facebook
  • Paypal
  • Chase
  • Ebay

 

L’objet du mail

L’objet doit attirer, alerter ou apeurer le destinataire afin de l’inciter à ouvrir l’email. Les hackers veulent susciter l’inquiétude, voire la peur, et motiver les utilisateurs à ouvrir le mail puis cliquer sur des liens et divulguer des informations sensibles.

Vous promettre un remboursement ou de l’argent c’est aussi très attirant et ça pousse tout autant à ouvrir le mail !

🧐 Qui ne veut pas être remboursé de 385€ des impôts ?

Le contenu du mail

Beaucoup de mails frauduleux contiennent des fautes d’orthographe ou de frappe. Certaines expressions peuvent être inappropriées ou mal formulées. C’est beaucoup moins le cas ces derniers temps, les hackers semblent avoir révisé leur grammaire.

🧐 Dans le mail ci-dessus on peut citer par exemple la dernière phrase : “Un remboursement peut être retardé pour diverses raisons. Par exemple, la soumission des dossiers non valides ou inscrivez après la date limite.” Vous l’aviez repéré ?

Quelques exemples de mode opératoires souvent utilisés par les hackers pour faire du phishing :

  • Vérification et mise à jour de compte : on vous demande de vérifier votre compte et de réinitialiser le mot de passe en raison d’un problème.
  • Problème avec le moyen de paiement : on vous informe que votre moyen de paiement ne fonctionne plus et doit être mis à jour.
  • La facture en pièce jointe : sous prétexte de vous transmettre une facture, la pièce jointe inclus un lien vers un site frauduleux ou contient un malware qui va s’installer sur votre ordinateur dès l’ouverture.
  • Avertissement de sécurité : là c’est le pompon 😅! Le hacker prétend que le mot de passe de la victime est compromis ou qu’une activité suspecte a été détectée sur le compte. En fait, c’est en faisant ce qu’il dit que la sécurité de votre compte sera finalement compromise.

Le lien cliquable

Avant de cliquer sur un site, positionnez votre souris sur le lien sans cliquer. Cela affichera immédiatement le lien vers lequel votre navigateur va vous rediriger.

🧐Faisons le test immédiatement. [Attention cette manipulation n’est pas possible sur un écran de smartphone.] Vu que le lien du mail frauduleux si ci-dessus n’est pas cliquable je vous propose un autre lien.

Passez votre souris sur ce lien [sans cliquer] !

Voyez-vous apparaître l’adresse exacte vers lequel vous mènera ce lien ? Regardez en bas à gauche de votre écran. C’est la page du site de signalement de cybercriminalité du ministère de l’intérieur qui vous permet de signaler les escroqueries (on y reviendra dans la suite de cet article).

Quand vous recevez un mail qui vous demande des informations personnelles faites ce test. Soyez très vigilant sur l’adresse indiquée parfois il suffit d’une lettre, d’un caractère différent pour atterrir sur un site frauduleux.

Par exemple, dmepp.com pourrait devenir dmepp.fr ou dmeipp.com. Les sites impots.gouvfr.biz, infocaf.org, impots.gouvv.fr,… sont des arnaques.

 

Comment réagir si on est victime d’hameçonnage ?

Selon Le Parisien, 1700 clients du Crédit Agricole ont été victimes d’hameçonnage en octobre 2020. Très bien imité, un courriel de la banque leur enjoignait de remplir des informations confidentielles (nom et numéro de carte par exemple). Le montant total du préjudice n’est pas encore connu. Donc, ça n’arrive pas qu’aux autres…

Au moindre doute, ne fournissez aucune information, fermez immédiatement la page. Ne répondez jamais à ces messages, ne cliquez pas sur les liens, n’ouvrez pas les pièces jointes !

 

Faire le point avec l’organisme concerné

Première étape, contacter l’organisme qui vous a soi-disant contacté pour les informer du message reçu et des informations communiquées.

Compte bancaire

Faites immédiatement opposition et signalez à votre banque que vous êtes victime d’une escroquerie.

Mot de passe

Changez immédiatement votre mot de passe pour le site concerné mais également pour tous les sites que vous utilisez régulièrement et qui pourraient contenir des informations sensibles. Surtout si tous les mots de passe sont identiques ! N’oubliez pas qu’un escroc qui a accès à votre boîte mail peut changer tous les mots de passe très facilement.

Réunir des preuves de l’hameçonnage

Conservez un maximum de preuves et en particulier le message d’hameçonnage. Vous pouvez également conservez des preuves des signalements effectués auprès de votre banque et des autres organismes concernés pour prouver votre bonne foi en cas de débits frauduleux.

Qui contacter en cas de phishing ?

Info Escroqueries

Pour vous informer vous pouvez contacter le numéro info escroqueries au 0 805 805 817 qui vous permettra de recevoir des conseils.

C’est un numéro d’information (gratuit si vous appelez depuis un fixe, ajouter 0.06 euros/minute depuis un téléphone mobile), disponible du lundi au vendredi de 9h à 18h30.

C’est un service sous la direction de la lutte contre la cybercriminalité de la police judiciaire.

Internet.signalement.gouv.fr

Ce site géré par le ministère de l’Intérieur permet via un portail de transmettre des signalements de contenus ou de comportements illicites auxquels vous vous seriez retrouvés confrontés au cours de votre utilisation d’Internet.

Attention, il ne s’agit pas de signaler les contenus ou comportements que VOUS jugez simplement immoraux ou nuisibles. Seul un contenu ou d’un comportement illicite, c’est-à-dire interdit et puni par une loi française peut être signalé.

Les signalements sont traités par des policiers et gendarmes affectés à la Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements (PHAROS)

Pour rappel, voici les principales pratiques autour de l’hameçonnage qui sont punies par la loi et les risques encourus.

Escroquerie (article 313-1 du code pénal) : L’escroquerie est un délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) est passible de deux ans d’emprisonnement et de 60 000 euros d’amende.

Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.

Usurpation d’identité (article 226-4-1 du code pénal) est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle. Délit passible d’une peine d’emprisonnement de trois ans et de 300 000 euros d’amende.

Signal Spam

Vous pouvez signaler un message douteux [sans y répondre !] sur le site Signal-spam.fr. C’est un site géré par une association ayant un partenariat avec les acteurs publics.

“Signal Spam est un instrument permettant de partager une information sur les courriers jugés indésirables par les utilisateurs : c’est l’internaute qui fait remonter en temps réel l’information qu’un spam est parvenu jusqu’à lui, qu’elle qu’en soit la nature.

Phishing Initiative

Le service Phishing Initiative permet à tout internaute de lutter contre les attaques de phishing. L’objectif est de dénoncer l’adresse d’un site de phishing. C’est donc le site frauduleux sur lequel vous avez atterri qui va faire l’objet d’une vérification et d’un blocage si nécessaire.

Pour rappel, un site frauduleux peut avoir un aspect quasiment identique au site d’origine et son adresse peut être quasiment identique à un caractère près.

Après vérification, si le site est effectivement frauduleux, il fera l’objet d’un blocage dans les navigateurs.

Les deux sites mentionnés ci-dessus, permettent sur le principe du signalement et de la force de la communauté, de lutter contre la cybercriminalité. En les utilisant, vous contribuez à protéger d’autres internautes de la fraude.

 

Prêts pour faire un auto test pour vérifier si vous avez retenu l’essentiel pour vous protéger de l’hameçonnage ?

L’hameçonnage n’est qu’une technique parmi d’autres utilisées par les hackers pour éviter d’autres arnaques consultez nos articles dédiés :

Et vous, avez-vous déjà été victime d’hameçonnage ? Quels sont vos conseils pour éviter les arnaques du phishing ?

Laisser un commentaire

Pour aller plus loin

25 leçons
3 quiz