Phishing : de quoi s’agit-il et quels sont les risques ?

Ce système d’arnaques très répandu sur Internet est généralement perpétré par e-mails et vise à extirper les données bancaires ou sensibles d’un internaute. Ces attaques étant souvent bien réalisées, les utilisateurs « mordent à l’hameçon » et cliquent sur le lien qu’ils pensent recevoir de leur banque pour leur demander de sécuriser leur compte. Découvrez en détails en quoi consiste le phishing et que faire en cas de tentative d’hameçonnage à votre encontre.

L’hameçonnage, ou phishing, est une technique de fraude visant à récupérer des données personnelles et/ou bancaires d’un internaute en se faisant passer pour un tiers de confiance. Le phishing peut avoir lieu sous différentes formes, e-mail, appel, SMS, et provenir des réseaux sociaux, de personnes que vous connaissez, d’une banque, d’un service administratif, etc.

L’hameçonnage est une technique d’arnaque pour extraire des données ou de l’argent à des gens ou des sociétés par le biais de faux messages ou sites Internet.

La forme la plus répandue est l’hameçonnage de masse, méthode par laquelle des attaques non ciblées sont lancées par les fraudeurs. Dans ce cas, pas besoin d’une collecte d’informations préalable par le cybercriminel, seul le message a besoin d’être ressemblant à celui pouvant provenir d’une entité connue par beaucoup de monde (téléphone, service administratif, etc.)

Les attaques par hameçonnage paraissent très souvent innocentes : un e-mail de notre banque avec un lien sur lequel cliquer pour changer de mot de passe pour plus de sécurité, car cela n’a pas été fait depuis longtemps : qui ne tomberait pas dans le panneau ? L’efficacité et la dangerosité résident dans le fait que les attaques par hameçonnage n’exploitent pas une faille technique du système, mais bien l’esprit humain.

Les tentatives d’hameçonnage peuvent viser aussi bien les particuliers d’une entreprise. Être victime de phishing peut avoir des conséquences désastreuses, entre autres :

• Perte financière,
• Usurpation d’identité,
• Perte ou fuite de données,
• Préjudice à la réputation.

Il est donc primordial d’être vigilant lorsque vous ouvrez des mails ou bien que vous cliquez sur des liens. Il est parfois préférable de taper soit même l’URL du site sur lequel vous souhaitez vous rendre.

Afin de reconnaître une arnaque Internet et d’éviter de devenir une victime de phishing, quelques règles élémentaires de bon sens et de sécurité sont suffisantes. Il convient de manière générale de se demander si le message reçu est plausible. La peur qui modifie votre jugement est l’une des armes de l’hameçonnage.

Voici quelques indices pouvant vous mettre la puce à l’oreille pour démasquer une tentative d’hameçonnage :

• Une offre trop alléchante devrait vous alerter sur la fiabilité du message reçu. Un message vous annonçant par exemple que vous venez de gagner une belle somme d’argent ou un téléphone dernier cri est très rarement innocent. Surtout si vous n’avez jamais joué. Soyez donc raisonnable et ne cliquez pas sur le lien contenu dans le message, voire même n’ouvrez pas le message.
• Le message provient d’une personne que vous connaissez, mais à qui vous ne parlez pas, ou alors le contenu du message n’a rien à faire avec vos obligations professionnelles habituelles.
• Le contenu du message vous incite à agir urgemment, e.g. à cliquer sur un lien avant que votre compte ne soit clôturé.
• Le message tente de vous faire peur, par exemple en vous indiquant que votre mot de passe a été changé et qu’une connexion suspecte à votre compte a été relevée. Un lien est en général fourni directement dans ce type de message et dans l’urgence, vous ne réfléchissez pas à deux fois : c’est ainsi que vous vous retrouvez à cliquer sur un lien phishing.
• La présence de pièces jointes : les entreprises en envoient rarement avec leurs newsletters. Il se peut donc que ces dernières soient en fait des logiciels malveillants.
• Un lien hypertexte est intégré au message alors qu’il n’est pas spécialement attendu. Une bonne astuce est donc de toujours penser à vérifier l’URL en survolant le lien avant de cliquer dessus.

Attention à bien garder à l’esprit qu’un organisme responsable (tel que votre banque, votre fournisseur téléphonique ou internet, etc.) ne vous demandera jamais d’informations personnelles en ligne.

Installez NordVPN sur vos appareils dès maintenant et surfez en toute sécurité !

Le principe d’une attaque par phishing est d’utiliser un prétexte frauduleux pour obtenir des données sensibles, envoyées directement par l’internaute. Il existe toutefois différents types d’attaques par hameçonnage.

Petit tour d’horizon des techniques principales.

La technique du harponnage, ou « spear phishing » en anglais, consiste en une attaque adaptée et ciblée sur une seule personne ou entreprise. Le pirate effectue des recherches sur sa cible au préalable. Le contenu est ainsi adapté à la victime de sorte qu’il est plus crédible, ce qui rend la tentative de fraude plus plausible.

Les pirates utilisent de nombreuses ressources pour obtenir des informations personnelles ou même connaître le fonctionnement interne d’une entreprise. Grâce aux informations recueillies, le pirate peut aisément se faire passer pour une personne digne de confiance (ancien collègue, représentant d’un service fréquemment utilisé par la victime, etc.). De cette manière, par le biais d’e-mails qui semblent légitimes, ils réussissent à obtenir des informations confidentielles ou même des transferts d’argent.

Le whaling est une variété de harponnage plus poussée. Le principe est ici de cibler les « gros poissons », i.e. les personnes les plus haut placé au sein d’une société. Le but du whaling est donc de tromper une personne suffisamment importante au sein de l’entreprise pour l’inciter à donner des informations confidentielles de l’entreprise ou personnelles. Le pirate pourra ensuite se faire passer pour cette personne de haut rang de l’entreprise (directeur général, actionnaire principal, etc.). Les employés seront donc plus sensibles aux demandes de cette personne, qu’il s’agisse de fournir des informations confidentielles ou d’effectuer des transferts d’argent. De fait, les gains de l’attaquant seront donc plus importants puisque les employés seront moins méfiants envers leurs « supérieurs ».

Le clonage, ou “clone phishing” en anglais nécessite une étroite surveillance de la boîte mail de la victime par son malfaiteur. L’hameçonneur réalise en fait une copie, un clone, d’un e-mail reçu récemment avec une pièce jointe ou un lien. Ces derniers sont en réalité modifiés de sorte à contenir un malware ou à renvoyer vers un site frauduleux. De la sorte, l’attaquant peut contrôler le système de l’utilisateur et imiter son identité sans éveiller les soupçons d’autres victimes.

Ce type de phishing permet par exemple au pirate d’envoyer des factures qu’il aura préalablement modifié à des destinataires habituels de la victime qui ne feront pas attention que l’adresse mail a été légèrement changée. Ainsi le montant de la facture sera versé directement au malfaiteur.

Il existe un grand nombre d’attaques par hameçonnage menées par téléphone. Le vishing (contraction de « vocal » et « phishing ») implique des appels téléphoniques, et le smishing est réalisé par SMS.

Le vishing consiste à appeler une victime potentielle en se faisant passer pour une organisation parfois officielle telle que les impôts ou encore la police. Dans ce cas, le hacker joue sur la peur pour inciter la victime à communiquer immédiatement ses informations bancaires ou à payer une amende. Il est très souvent demandé que le paiement s’effectue par virement bancaire ou par le moyen d’une carte prépayée. Il est ainsi impossible de remonter jusqu’au hameçonneur.

Le smishing est la même arnaque que le vishing, mais avec l’envoi d’un message texte. Ce dernier est très souvent accompagné d’un lien douteux sur lequel la victime aura tendance à cliquer.

Les arnaques Internet par phishing peuvent prendre plusieurs formes. Certaines tentatives d’hameçonnage reviennent très souvent, entre autres :

• Les arnaques bancaires : une victime potentielle reçoit un message lui indiquant une activité suspecte sur son compte de la part d’une banque accompagné d’un lien pour confirmer. Dans la grande majorité des cas, la victime ne dispose pas de compte auprès de l’organisme bancaire qui la contacte.
• Confirmation de vos détails de carte bancaire : lorsqu’un hacker sait que vous avez effectué un paiement en ligne, il vous envoie un e-mail déguisé du marchand chez qui vous venez d’effectuer votre achat. Dans ce message, il vous est demandé de confirmer vos données de carte de crédit, car elles ont peut-être été compromises. Le tour est joué : sans vous en rendre compte, vous avez envoyé vos informations bancaires à un cybercriminel. Ces techniques d’ingénierie sociale sont fréquemment observées dans des e-mails de phishing d’Apple, Amazon ou encore Netflix.
• Désactivation de compte : très souvent connue sous le nom de « hameçonnage Paypal », cette escroquerie a lieu par le biais d’un e-mail de, soi-disant, Paypal vous indiquant que votre compte sera désactivé jusqu’à ce que vous confirmiez vos détails bancaires. Le lien sur lequel vous êtes invité à cliquer vous emmène en réalité sur un faux site Paypal où vos coordonnées bancaires sont volées.

Les arnaques sur Internet sont évitables, et en suivant quelques règles et conseils vous pourrez minimiser les risques d'être victime de tentative d’hameçonnage.

• Utiliser un filtre anti-spam. Ce filtre est fait pour limiter l’arrivée des pourriels dans votre boîte de réception. Il permet de filtrer un bon nombre de potentielles attaques. Cependant il ne fait pas tout et il ne faut pas s’y fier intégralement.
• Ne jamais communiquer d’informations sensibles par téléphone ou par e-mail.
• Vérifier l’adresse d’un lien avant de cliquer dessus en le survolant (un seul caractère manquant ou différent peut indiquer un site frauduleux).
• Contacter directement l’organisme concerné si vous avez un doute sur la fiabilité du message reçu.
• Choisir ses mots de passe avec soin et différents entre chaque compte.
• Utiliser la double authentification lorsque cela est possible.
• Vérifier les dates et heures de dernière connexion à vos comptes pour repérer des accès n’émanant pas de vous.
• Évitez les fenêtres pop-ups lorsque vous naviguez sur le web. Ces publicités se révèlent fréquemment être des tentatives de phishing. L’utilisation d’un VPN peut vous aider à ne pas vous en soucier et à avoir plus de sécurité.

Vous avez cliqué sur un lien douteux et vous pensez vous être fait arnaquer sur un site ? Pas de panique, nous vous expliquons comment faire pour limiter les dégâts et empêcher que cela ne se reproduise.

• Faites immédiatement opposition sur vos moyens de paiement auprès de votre organisme bancaire si vous avez remarqué des débits frauduleux ou si vous avez communiqué vos coordonnées bancaires après avoir cliqué sur un lien de phishing.
• Si vous êtes victime de phishing ou si vous pensez avoir cliqué sur un lien douteux, changez immédiatement vos mots de passe.
• Effectuez un signalement de tout mail frauduleux auprès de Signal Spam. Associé à la CNIL, ces deux entités œuvrent pour identifier et signaler les émetteurs de spams. Des actions nécessaires afin de les contrer sont également entreprises.
• Contactez Phishing Initiative pour signaler un site frauduleux. Grâce à ce signalement, Phishing Initiative aura les moyens d’effectuer un blocage du site malveillant en question et demander à ce qu’il soit supprimé.
• Au moindre doute, pour vous éviter de cliquer sur un lien douteux et de vous faire arnaquer sur un site n’hésitez pas à contacter l’organisme concerné. Ils seront en mesure de vous dire si l’appel ou le message que vous avez reçu est fiable.
• Si vous êtes victimes d’une arnaque sur Internet : conservez les preuves, en particulier le mail de phishing ainsi que le site d’hameçonnage que vous avez signalé.
• Dans le cas où des données servant à usurper votre identité pourraient être entre de mauvaises mains, ou en cas de débit frauduleux sur votre compte n’hésitez pas à déposer plainte à la gendarmerie ou au commissariat.

Les attaques par phishing prennent donc diverses formes, mais avec quelques règles élémentaires il est très facile de s’en prémunir.

Installez un VPN et protégez-vous des cybermenaces.