Vous connaissez l’hameçonnage ? En anglais on le nomme phishing ce qui signifie littéralement « pêche aux victimes« . Même s’il existe des filtres de plus en plus sophistiqués pour nous protéger, aucun n’est efficace à 100% ! La technologie s’adapte et évolue mais elle reste un complément à la vigilance de l’utilisateur. La clé de la protection c’est l’utilisateur lui-même. Comment se protéger de l’hameçonnage ? Réponses très concrètes dans cet article !
Cet article fait partie du dossier : Comment reconnaître les arnaques sur internet ?
En 2021, 1.3 million de signalements pour des faits d’hammeçonnage (augmentation de 143% en un an) !
Comment fonctionne l’hameçonnage ?
Le principe est assez simple. Vous recevez un message (mail, sms ou appel téléphonique) qui semble sérieux. Il semble provenir d’une entité de confiance (administration, banque…etc). On vous demande souvent d’agir rapidement et de communiquer des informations personnelles.
Le but de l’arnaque : Voler vos données personnelles pour en faire un usage frauduleux. Votre mot de passe, votre numéro de compte, vos justificatifs de domicile, …etc permettent ensuite à l’escroc de voler votre identité, d’ouvrir un compte bancaire en ligne ou de souscrire à des crédits en votre nom par exemple.
La principale méthode d’action : Envoi d’un sms, d’un mail ou appel téléphonique qui a vraiment l’apparence d’un mail officiel de sa banque, de son opérateur téléphonique, d’un site de e-commerce…etc.
Les cibles : Les particuliers mais aussi les entreprises et les collectivités territoriales comme une mairie par exemple.
Les risques du phishing | Danger |
Argent volé sur votre compte bancaire | Atteinte aux finances personnelles |
Souscription de services, achats avec votre identité | Vol identité |
Perte d’accès aux photos, vidéos et fichiers | Données personnelles |
Fausses publications sur les réseaux sociaux | Réputation en ligne |
Les cybercriminels se font passer pour vous après de proches | Mise en danger des proches |
4 habitudes simples et efficaces contre l’hameçonnage
Même s’il faut le reconnaître, les escrocs sont particulièrement inventifs pour leurrer leurs proies, il est tout de même possible de les démasquer. Voici quelques mesures de prévention à prendre dès maintenant.
Ne jamais communiquer d’informations sensibles par messagerie ou téléphone
Une société sérieuse ou une administration ne vous demandera pas de communiquer des données sensibles comme des mots de passe par mail ou téléphone. Et il est peu probable qu’un inconnu vous propose réellement de bénéficier d’un héritage !
De plus en plus d’entreprises mettent en place d’autres moyens de vous identifier au téléphone quand vous les contactez. Ils vous demandent par exemple de décliner votre nom et adresse ou d’indiquer un identifiant ou un numéro de client. Mais, on ne vous demandera pas votre mot de passe personnel.
Contacter directement l’organisme concerné
Vous recevez un mail « URGENT votre compte va être bloqué » de votre banque qui paraît suspect et qui vous enjoint à agir rapidement ? Vous avez un doute ?
Alors fermez le mail et contactez directement votre banque pour confirmer le message et faire le point directement avec eux.
Ne rappelez pas le numéro indiqué dans le mail, ne cliquez pas sur les liens contenus dans le mail et n’y répondez pas.
Bien choisir ses mots de passe
Il est essentiel, indispensable, incontournable (oui j’insiste !) de choisir des mots de passe complexes et différents pour chaque site. C’est tellement important que ce point à fait l’objet d’un article complet. Vous pouvez le découvrir ici : Cybersécurité | Bien choisir ses mots de passe pour éviter les attaques
Il contient des astuces simples pour retenir des mots de passe complexes et surtout les retenir !
La double authentification
De plus en plus de sites vous proposent (parfois ils l’imposent et c’est tant mieux !) la double authentification. De quoi s’agit-il ? Plutôt que d’accéder à votre compte uniquement avec un mot de passe, vous devez passer deux étapes pour vous connecter. La seconde étape prendre souvent la forme d’un code reçu par sms à saisir.
C’est un moyen très efficace pour bloquer les escrocs. Ils ont peut-être récupéré vos données de connexion mais ils n’ont pas votre téléphone portable pour recevoir le code à saisir. Ils seront donc bloqués !
Je sais, parfois c’est un peu contraignant de prendre quelques minutes de plus pour se connecter à chaque site avec la double authentification. Mais, je vous assure qu’en cas de vol d’identité, quand un escroc aura peut-être vidé vos comptes… vous vous en voudrez certainement de ne pas avoir accepté de [perdre] prendre ces quelques secondes de plus à chaque connexion !
Comment repérer le phishing ?
Voici un mail frauduleux semblant provenir des impôts. Logos, en-têtes, couleurs voire même fausses signatures, ✅l’illusion semble parfaite. Le message renvoyait à un site internet frauduleux imitant lui aussi un site officiel qui demandait à l’internaute de fournir entre autres son numéro de carte bleue !
Ce mail va nous servir de cas pratique pour déterminer tous les indices qui auraient pu permettre aux destinataires de 🛑 repérer le phishing !
🧐 Est-ce que vous avez déjà repéré des indices ?
Le destinataire du mail
Les escrocs sont malins mais pressés. Donc, ils envoient en général un mail générique à un grand nombre d’utilisateurs en même temps. Le mail est donc [en général mais pas toujours] très peu personnalisé.
En plus, l’escroc ne connaît pas forcément votre opérateur, donc si vous recevez un mail concernant une facture ou un dossier qui ne vous parle pas ou même provient d’un autre opérateur que le vôtre, c’est surement une arnaque ! Vous pouvez aussi recevoir une facture pour un produit que vous n’avez pas acheté !
🧐 Dans le mail ci-dessus, aucune information personnelle n’apparaît pas même votre nom par exemple.
Malgré tout, ces dernières années, les professionnels indiquent que les hackers enquêtent parfois quand ils veulent piéger une entreprise ou une organisation. Ils essayent de déterminer les principaux partenaires de l’entreprise en question pour rendre le contenu de leur mail plus crédible. Il faut donc redoubler de vigilance quand il s’agit d’un mail reçu sur une boîte professionnelle.
L’expéditeur du mail
Sur ce point soyez très attentif. Qui vous envoi le mail ? Le service client d’une grande marque ne vous enverra pas des courriels avec une adresse mail privée comme @gmail.com par exemple !
Attention également aux mails provenant de personnes que vous connaissez (ami, collègue de travail, connaissance, …). S’ils vous demandent des informations confidentielles étranges, leur boîte mail a pu être piratée. Contactez la personne par un autre moyen pour vérifier.
Parfois, dans le mail, une adresse mail du vrai service client est indiquée pour convaincre l’utilisateur que le mail provient bien de l’entreprise en question.
Les 5 principales marques usurpées en 2020 sont selon vadesecure :
- Microsoft
- Paypal
- Chase
- Ebay
L’objet du mail
L’objet doit attirer, alerter ou apeurer le destinataire afin de l’inciter à ouvrir l’email. Les hackers veulent susciter l’inquiétude, voire la peur, et motiver les utilisateurs à ouvrir le mail puis cliquer sur des liens et divulguer des informations sensibles.
Vous promettre un remboursement ou de l’argent c’est aussi très attirant et ça pousse tout autant à ouvrir le mail !
🧐 Qui ne veut pas être remboursé de 385€ des impôts ?
Le contenu du mail
Beaucoup de mails frauduleux contiennent des fautes d’orthographe ou de frappe. Certaines expressions peuvent être inappropriées ou mal formulées. C’est beaucoup moins le cas ces derniers temps, les hackers semblent avoir révisé leur grammaire.
🧐 Dans le mail ci-dessus on peut citer par exemple la dernière phrase : « Un remboursement peut être retardé pour diverses raisons. Par exemple, la soumission des dossiers non valides ou inscrivez après la date limite. » Vous l’aviez repéré ?
Quelques exemples de mode opératoires souvent utilisés par les hackers pour faire du phishing :
- Vérification et mise à jour de compte : on vous demande de vérifier votre compte et de réinitialiser le mot de passe en raison d’un problème.
- Problème avec le moyen de paiement : on vous informe que votre moyen de paiement ne fonctionne plus et doit être mis à jour.
- La facture en pièce jointe : sous prétexte de vous transmettre une facture, la pièce jointe inclus un lien vers un site frauduleux ou contient un malware qui va s’installer sur votre ordinateur dès l’ouverture.
- Avertissement de sécurité : là c’est le pompon 😅! Le hacker prétend que le mot de passe de la victime est compromis ou qu’une activité suspecte a été détectée sur le compte. En fait, c’est en faisant ce qu’il dit que la sécurité de votre compte sera finalement compromise.
Le lien cliquable
Avant de cliquer sur un site, positionnez votre souris sur le lien sans cliquer. Cela affichera immédiatement le lien vers lequel votre navigateur va vous rediriger.
🧐Faisons le test immédiatement. [Attention cette manipulation n’est pas possible sur un écran de smartphone.] Vu que le lien du mail frauduleux si ci-dessus n’est pas cliquable je vous propose un autre lien.
Passez votre souris sur ce lien [sans cliquer] !
Voyez-vous apparaître l’adresse exacte vers lequel vous mènera ce lien ? Regardez en bas à gauche de votre écran. C’est la page du site de signalement de cybercriminalité du ministère de l’intérieur qui vous permet de signaler les escroqueries (on y reviendra dans la suite de cet article).
Quand vous recevez un mail qui vous demande des informations personnelles faites ce test. Soyez très vigilant sur l’adresse indiquée parfois il suffit d’une lettre, d’un caractère différent pour atterrir sur un site frauduleux.
Par exemple, dmepp.com pourrait devenir dmepp.fr ou dmeipp.com. Les sites impots.gouvfr.biz, infocaf.org, impots.gouvv.fr,… sont des arnaques.
Comment réagir si on est victime d’hameçonnage ?
Selon Le Parisien, 1700 clients du Crédit Agricole ont été victimes d’hameçonnage en octobre 2020. Très bien imité, un courriel de la banque leur enjoignait de remplir des informations confidentielles (nom et numéro de carte par exemple). Le montant total du préjudice n’est pas encore connu. Donc, ça n’arrive pas qu’aux autres…
Au moindre doute, ne fournissez aucune information, fermez immédiatement la page. Ne répondez jamais à ces messages, ne cliquez pas sur les liens, n’ouvrez pas les pièces jointes !
Faire le point avec l’organisme concerné
Première étape, contacter l’organisme qui vous a soi-disant contacté pour les informer du message reçu et des informations communiquées.
Compte bancaire
Faites immédiatement opposition et signalez à votre banque que vous êtes victime d’une escroquerie.
Mot de passe
Changez immédiatement votre mot de passe pour le site concerné mais également pour tous les sites que vous utilisez régulièrement et qui pourraient contenir des informations sensibles. Surtout si tous les mots de passe sont identiques ! N’oubliez pas qu’un escroc qui a accès à votre boîte mail peut changer tous les mots de passe très facilement.
Réunir des preuves de l’hameçonnage
Conservez un maximum de preuves et en particulier le message d’hameçonnage. Vous pouvez également conservez des preuves des signalements effectués auprès de votre banque et des autres organismes concernés pour prouver votre bonne foi en cas de débits frauduleux.
Qui contacter en cas de phishing ?
Info Escroqueries
Pour vous informer vous pouvez contacter le numéro info escroqueries au 0 805 805 817 qui vous permettra de recevoir des conseils.
C’est un numéro d’information (gratuit si vous appelez depuis un fixe, ajouter 0.06 euros/minute depuis un téléphone mobile), disponible du lundi au vendredi de 9h à 18h30.
C’est un service sous la direction de la lutte contre la cybercriminalité de la police judiciaire.
Internet.signalement.gouv.fr
Ce site géré par le ministère de l’Intérieur permet via un portail de transmettre des signalements de contenus ou de comportements illicites auxquels vous vous seriez retrouvés confrontés au cours de votre utilisation d’Internet.
Attention, il ne s’agit pas de signaler les contenus ou comportements que VOUS jugez simplement immoraux ou nuisibles. Seul un contenu ou d’un comportement illicite, c’est-à-dire interdit et puni par une loi française peut être signalé.
Les signalements sont traités par des policiers et gendarmes affectés à la Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements (PHAROS).
Pour rappel, voici les principales pratiques autour de l’hameçonnage qui sont punies par la loi et les risques encourus.
Escroquerie (article 313-1 du code pénal) : L’escroquerie est un délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.
Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.
Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) est passible de deux ans d’emprisonnement et de 60 000 euros d’amende.
Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.
Usurpation d’identité (article 226-4-1 du code pénal) est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.
Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle. Délit passible d’une peine d’emprisonnement de trois ans et de 300 000 euros d’amende.
Signal Spam
Vous pouvez signaler un message douteux [sans y répondre !] sur le site Signal-spam.fr. C’est un site géré par une association ayant un partenariat avec les acteurs publics.
« Signal Spam est un instrument permettant de partager une information sur les courriers jugés indésirables par les utilisateurs : c’est l’internaute qui fait remonter en temps réel l’information qu’un spam est parvenu jusqu’à lui, qu’elle qu’en soit la nature.«
Phishing Initiative
Le service Phishing Initiative permet à tout internaute de lutter contre les attaques de phishing. L’objectif est de dénoncer l’adresse d’un site de phishing. C’est donc le site frauduleux sur lequel vous avez atterri qui va faire l’objet d’une vérification et d’un blocage si nécessaire.
Pour rappel, un site frauduleux peut avoir un aspect quasiment identique au site d’origine et son adresse peut être quasiment identique à un caractère près.
Après vérification, si le site est effectivement frauduleux, il fera l’objet d’un blocage dans les navigateurs.
Les deux sites mentionnés ci-dessus, permettent sur le principe du signalement et de la force de la communauté, de lutter contre la cybercriminalité. En les utilisant, vous contribuez à protéger d’autres internautes de la fraude.
L’hameçonnage n’est qu’une arnaque parmi d’autres, pour les éviter consultez nos articles dédiés Démarchage commercial téléphonique, par mail, courrier, à domicile et arnaques – dites STOP !
💬 Et vous, avez-vous déjà été victime d’hameçonnage ? Quels sont vos conseils pour éviter les arnaques du phishing ?