Le phishing (ou hameçonnage) est une technique consistant pour le fraudeur à faire croire à la victime qu’elle s’adresse à un tiers de confiance, afin de lui dérober des informations confidentielles (mot de passe, numéro de carte de crédit…) pour détourner des fonds. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet. Par principe, les centres des impôts, les organismes sociaux (CAF, mutuelles, etc..), les banques ou les opérateurs ne demandent jamais, par courriel, de renseigner des données personnelles.
Cependant, les attaques par phishing font de plus en plus de victimes. Il convient d’ailleurs de souligner que les e-mails piégés adressés par des tiers se faisant passer pour votre banque ou votre opérateur afin de détourner des informations personnelles sont de plus en plus trompeurs (le message est souvent personnalisé et sans faute d’orthographe), ce qui nécessite d’être vigilant.
Comment identifier les tentatives de phishing ?
- Vous recevez un courriel alarmiste ou alléguant un prétendu remboursement en votre faveur qui semble provenir d’une source de confiance (banque, impôts, etc..). Vous êtes invité à vous rendre sur une page de formulaire afin de fournir des données personnelles.
- Vous recevez un courriel dans lequel il vous est demandé de « mettre à jour » ou de « confirmer suite à un incident technique » vos données, notamment bancaires.
- Vous recevez un mail de votre opérateur vous précisant que votre banque a refusé le dernier prélèvement en vous enjoignant de régler au plus vite votre facture.
Bon à savoir : Il peut être opportun d’essayer d’ouvrir d’autres liens hypertextes comme, par exemple, ceux situés en bas de page. Ces liens, étant le plus souvent inactifs, vous mèneront à un message d’erreur ce qui peut confirmer une tentative de phishing.
Le mode opératoire et les conséquences du phishing
Vous recevez un mail, un SMS d’une personne mal intentionnée qui se fait passer pour votre opérateur. En cliquant sur le lien présent dans le message frauduleux, vous êtes automatiquement renvoyé sur une page internet contrefaite, portant le logo de l’opérateur. Confiant, vous communiquez spontanément les informations qui vous sont réclamées, notamment l’identifiant, le mot de passe et/ou le numéro de carte bancaire.
Avec ces informations, le fraudeur peut agir de différentes façons :
- Retirer une nouvelle carte SIM dans une borne. En possession de la carte SIM, le fraudeur peut alors effectuer des communications depuis votre ligne ou contourner le principal dispositif de sécurité « 3D Secure ». Il récupère ainsi le code de sécurité envoyé par votre banque par SMS, pour effectuer une transaction financière depuis un site Internet. Il s’agit d’une « arnaque à la carte SIM »
- Récupérer le contrôle de votre adresse mail et envoyer à vos contacts un message de détresse pour l’achat de coupons PCS Mastercard ou Transcash.
- Commander un téléphone ou souscrire sur Internet un abonnement à votre nom avec vos identifiants.
Quels sont les bons réflexes pour se protéger du phishing ?
- Prendre en compte les conseils qui figurent sur le site de votre opérateur,
- Vérifier toujours l’identité de votre interlocuteur,
- S’assurer que l’adresse du site (son URL) est bien l’adresse habituelle de l’interlocuteur ou l’organisme concerné,
- Privilégier la saisie d’informations personnelles (coordonnées bancaires, identifiants, ..) sur des sites internet sécurisés. Attention, le cadenas qui apparaît dans le navigateur et l’adresse du site qui commence par Https au lieu de http, ne garantissent pas que le site n’est pas un faux,
- Adopter la règle d’or de ne jamais communiquer vos informations personnelles (code secret, coordonnées bancaires..) à qui que ce soit,
- Changer régulièrement de mots de passe qui doivent être suffisamment complexes,
- S’assurer que votre anti-virus est mis à jour régulièrement,
- Ne pas cliquer sur les liens contenus dans les courriers électroniques,
- Utiliser les fonctionnalités de protection contre le hameçonnage et les logiciels malveillants proposées par les navigateurs internet,
- Installer un logiciel de filtre anti-spam,
- Rester vigilant lorsqu’un courriel demande des actions urgentes,
- En cas de doute, prendre contact immédiatement avec votre agence bancaire ou votre opérateur.
Utiliser les plateformes de signalement
Les tentatives d’escroquerie par phishing peuvent être signalées sur la plateforme PHAROS (www.internet-signalement.gouv.fr), portail officiel de signalement des contenus illicites de l’Internet ou sur le site www.phishing-initiative.com
Il est possible aussi de s’inscrire gratuitement sur le site www.signal-spam.fr et de télécharger une extension pour le logiciel de messagerie ou le navigateur.
Pour en savoir plus
Site de la CNIL (Commission Nationale de l’Informatique et des Libertés) : https://www.cnil.fr
Site de la DGCCRF : fiche pratique sur le phishing https://www.economie.gouv.fr
Site d’information et d’assistance du gouvernement sur la cybermalveillance
https://www.cybermalveillance.gouv.fr (vidéos pédagogiques disponibles pour alerter les particuliers, notamment sur les risques de phishing).
Télécharger la fiche pratique (application/pdf/117Ko)