À l’heure actuelle, il n’est pas rare de recevoir un message ou un appel provenant d’une personne se faisant passer pour un tiers de confiance, alors qu’il n’en est rien. Le but est clairement de vous tromper. Dans cet article, nous allons vous donner des conseils pour pouvoir détecter une tentative de phishing et savoir comment réagir si vous êtes victime d'un phishing.
L'hameçonnage, également connu sous le nom de phishing, implique l'envoi de SMS ou d'emails trompeurs visant à duper la victime. Le but est de l'amener à divulguer des informations personnelles et/ou bancaires, en se faisant passer pour une entité de confiance.
En cas de victime de phishing, il est conseillé de bloquer immédiatement l'accès à vos comptes en faisant opposition, de porter plainte auprès des autorités compétentes, et de signaler l'incident sur des plateformes telles que Phishing Initiative.
Comment cela fonctionne ?
Illustration pour expliquer le fonctionnement du phishing
Les cybercriminels utilisent souvent des emails, des messages ou des sites web frauduleux pour mener à bien leurs attaques. Les types de données sensibles susceptibles d'être extorquées par le phishing incluent :
Données bancaires et financières : numéros de compte, numéros de carte de crédit, mots de passe de banque en ligne, et informations sur les transactions. L'objectif est souvent de s'approprier directement des fonds ou de réaliser des achats frauduleux.
Informations personnelles : noms complets, adresses, numéros de sécurité sociale, dates de naissance. Ces données peuvent être utilisées pour l'usurpation d'identité, permettant aux criminels d'ouvrir de nouveaux comptes, de contracter des emprunts ou de commettre d'autres formes de fraude en votre nom.
Identifiants de connexion : noms d'utilisateur et mots de passe de différents services en ligne (emails, réseaux sociaux, plateformes de commerce électronique). Avec ces informations, les attaquants peuvent accéder à vos comptes, voler des informations supplémentaires, ou les utiliser pour lancer d'autres attaques.
Informations professionnelles : accès aux réseaux et systèmes d'entreprises, données confidentielles d'entreprise, informations sur les clients. Ces informations peuvent être utilisées pour des cyberattaques ciblées, du vol de propriété intellectuelle, ou pour compromettre des données sensibles d'entreprise.
Informations de sécurité : questions et réponses de sécurité, codes PIN, et données d'authentification à deux facteurs. Ces éléments peuvent aider les attaquants à contourner les mesures de sécurité supplémentaires protégeant vos comptes.
Données médicales : informations sur la santé, historiques médicaux, informations d'assurance. Ces données peuvent être utilisées pour des fraudes à l'assurance ou vendues sur le marché noir des données.
N'attendez pas de tout perdre avant de vous former !
Les cybercriminels peuvent prendre contact avec vous par plusieurs moyens de phishing, notamment :
Email (Phishing) : Des courriels qui semblent provenir d'entreprises légitimes vous demandant de confirmer des informations personnelles.
Téléphone Vishing (Voice Phishing): Des appels prétendant être de votre banque ou d'un service client pour vérifier votre compte.
Réseaux Sociaux (Social Media Phishing) : Des messages ou des publications d'entités semblant être des organisations fiables.
SMS (Smishing) : Des textes vous alertant sur des problèmes de sécurité fictifs et vous demandant d'agir immédiatement.
Voici quelques exemples de phishing que je reçois régulièrement sur plusieurs adresses e-mails :
Exemple de phishing de la société générale
Exemple de phishing avec Microsoft One Drive
Exemple de phishing avec Facebook
Comment se protéger contre les tentatives de phishing ?
Pour éviter de vous faire arnaquer par ces techniques frauduleuses, vous devez connaître quelques règles de vigilance.
N'attendez pas de tout perdre avant de vous former !
Lorsque vous êtes contacté par téléphone, vous ne devez jamais transmettre vos mots de passe et coordonnées bancaires. Les institutions authentiques ne vous les demandent jamais. Si la personne le fait, c’est probablement une arnaque. Coupez la communication et rappelez vous-même l’organisme officiel qui aurait dû vous joindre.
Si vous recevez un mail comportant possiblement un lien d’hameçonnage, commencez simplement par faire glisser votre souris sur le lien, sans cliquer dessus.
Cela vous permettra d’afficher la véritable page vers laquelle il vous dirige. Vous pourrez alors vérifier, depuis votre navigateur, si le lien correspond à l’adresse authentique du site. Si ce n’est pas le cas,
signalez le mail reçu
ne cliquez pas dessus
ne transmettez pas d’informations
Attention, la différence entre les deux adresses du site peut être très subtile. Soyez donc attentif lors de la comparaison.
Mettez aussi en place certaines habitudes, comme choisir des mots de passe complexes (avec lettres majuscules et minuscules, ainsi qu’un caractère spécial).
Utilisez également des mots de passe différents, pour limiter les conséquences en cas de vol de données. Pour pouvoir gérer vos différents mots de passe, il existe des coffres-forts numériques sécurisés.
Pensez à la double authentification pour vous connecter sur les sites. Cela rajoute une étape supplémentaire au cas où vous vous faites avoir par du fishing. En effet, même si le cyber criminel arrive à collecter votre combinaison mail / mot de passe, il lui faudra quand même une double authentification et il ne pourra pas accéder directement à vos données sur le site visé.
Enfin, méfiez-vous de toutes les techniques de contact consistant à vous dire que vous avez gagné à un tirage au sort ou lorsqu’on vous dit qu’on vous appelle de la part d’un fournisseur connu.
Récemment, aux États-Unis, des cybercriminels ont tenté d'escroquer leurs victimes en recréant la voix d'un proche à l'aide de l'intelligence artificielle pour simuler des situations de crise comme des enlèvements ou encore des cas où ils seraient bloqués et dans le besoin.
Que faire si vous êtes victime de phishing ?
Personne n’est à l’abri d’une erreur, même les plus avertis et également les entreprises, notamment pour le phishing par mail. Il faut dire que les messages sont de plus en plus précis et les pirates arrivent à trouver des informations très personnelles vous concernant, afin d’être crédible et de vous leurrer.
Si malheureusement, vous êtes victime de phishing, la marche à suivre dépend de la situation.
Vous avez reçu un mail avec un lien douteux ? Signalez-le à Signal Spam ou à Phishing Initiative et ne cliquez pas sur le lien.
Si vous constatez un prélèvement sur votre compte dont vous n’êtes pas à l’origine, contactez votre banque pour faire opposition à votre carte bleu et allez porter plainte auprès des forces de l’ordre. Vous pouvez signaler certains types d'arnaques sur internet comme le piratage de votre boite mail, l'extorsion d'argent pour débloquer votre ordinateur ou encore, votre compte Facebook piraté directement avec le dispositif de l'état : Thesee
Si vous pensez que votre identité peut être ou est usurpée, là aussi, le dépôt de plainte doit être fait le plus rapidement possible.
Et dans tous les cas, modifiez immédiatement les mots de passe que vous utilisez sur vos différents comptes (bancaires, administration, commerce en ligne…). Vous pouvez également rechercher des conseils auprès d’organismes agréés, comme Info Escroqueries.
Améliorez votre sécurité en ligne
💼 Des outils pour protéger vos données
🛡️ Des actions pour améliorer votre protection en ligne
