Il vous est déjà arrivé de prendre votre téléphone mobile et de cliquer sur un lien sans trop vérifier à quoi il correspondait ? Vous savez, ces fameux messages qui vous parlent de compte CPF, de carte vitale ou qui évoque bien d’autres motifs dans le but de vous pousser à cliquer sur le lien joint au message Un certain nombre d’études indiquent que 10% des internautes cliquent machinalement sur des liens d’hameçonnage sur leurs appareils mobiles. En 2021, c’est 1 français sur 4 qui a été exposé aux menaces de cybersécurité. Découvrons ensemble ce qu’est le phishing et comment s’en protéger.
Qu’est-ce que le phishing ?
Le phishing en anglais ou l’hameçonnage est une technique très utilisée par les cybercriminels dans le but de voler les informations personnelles et/ou bancaires des utilisateurs. Cette méthode utilise les messages électroniques (email), les SMS et même parfois les appels téléphoniques en espérant usurper l’identité d’un tiers de confiance (société de e-commerce, banque, association, direction, réseau social, société de livraison, etc.).
Les hackers font en sorte d’inciter les internautes à donner des informations personnelles, leur mot de passe voire même les numéros de leur carte bancaire. Les informations volées lors de ces tentatives d’hameçonnage seront pas la suite revendues à d’autres cybercriminels ou utiliser par des personnes malveillantes afin de réaliser divers actes frauduleux comme le piratage de comptes en ligne, fraude à la carte bancaire, usurpation d’identité, phishing contre les victimes….
Quelles sont les différentes formes de phishing ou hameçonnage ?
Le site Cybermalveillance.gouv.fr rattaché au gouvernement francais, a recensé un grand nombre de campagnes de phishing dans le but principal d’utiliser à leur insu l’identité des administrations ou des sociétés afin de mettre en place des fraudes et s’enrichir sur le dos des entités. Voici la liste des principales techniques de phishing les plus utilisées par les cybercriminels afin de vous éviter de tomber dans leur filet malveillant.
Phishing sur les impôts
Vous avez surement dû recevoir au moins une fois dans votre vie, des sms ou des messages dans votre boîte de réception, vous annonçant la bonne nouvelle d’un futur remboursement. Parfois même il est question d’une demande de règlement d’une mensualité impayée en toute urgence pour éviter des pénalités. Il s’agit sûrement d’une jolie petite technique de phishing mise en œuvre pour vous déstabiliser. En effet, le cybercriminel vous invite après envoi de son message à mettre à jour votre dossier professionnel ou personnel avec des messages au couleurs officiels des administrations comme les impôts ou la DGFIP.
Hameçonnage sur votre compte bancaire
Certains arnaqueurs tentent d’usurper des informations des établissements bancaires ainsi que des services de paiements comme Paypal, Lydia, Apple Pay. Cette arnaque revient de plus en plus sur le devant de la scène. C’est ce que confirme le site Cybermalveillance.gouv.fr qui a répertorié de nombreuses campagnes malveillantes dans le but de déjouer la sécurité des comptes bancaires. Les arnaqueurs font parvenir des messages d’approche trompeurs par email ou SMS dans le but de les inciter à communiquer des données de connexion sur leur compte bancaire.
Détournement de compte CPF
Vous avez surement dû en entendre parler à la télévision ou sur les réseaux sociaux, il existe une arnaque au Compte Personnel de Formation (CPF) qui usurpe souvent l’identité d’un organisme officiel (Pôle Emploi, Moncompteformation.gouv.fr…). Cette technique vise à s’approprier le compte formation d’un ou plusieurs utilisateurs afin de récupérer les sommes qu’il ont accumulé tout au long de leurs années de travail.
Arnaque sur vos colis ou commandes
Oui vous avez bien lu, il existe des arnaques sur vos colis. Mais comment opèrent les cybercriminels ? Et bien tout simplement en prenant contact avec vous pour vous avertir d’un souci d’acheminement de votre colis, de colis bloqué à cause des frais de douanes, d’une adresse incorrecte et le tour est joué. Ces messages ont pour seul but de vous extorquer des informations sur vos données bancaires. Des arnaqueurs ont même mis en place des systèmes de souscription cachés à des abonnements non souhaités.
Ils vont même jusqu’à installer un virus sur vos appareils. La même technique est utilisée sur les pseudos commandes. La victime reçoit un message “suspect” précisant une identité et une adresse de livraison qui ne sont pas celles de la victime. Le message incite ensuite le client à annuler la commande afin d’obtenir le remboursement de celle-ci. La victime fournit ses informations personnelles et bancaires pour le paiement de la commande et le hacker reçoit les remboursements.
Escroqueries à la loterie
Cela paraît fou, mais il existe des arnaques à la loterie. En effet, une autre technique de phishing qui commence à faire parler d’elle est celle l’escroquerie à la loterie. La victime reçoit un e-mail d’un hacker se faisant passer pour une société organisatrice des jeux de loterie lui annonçant qu’elle a gagné par le biais d’un tirage au sort une grosse somme d’argent. Ravie de la nouvelle, la victime est alors incitée à transmettre ses données personnelles aux notaires/huissiers en charge de la remise en main propre des gains. Evidemment, ces informations volées sont ensuite utilisées par des arnaqueurs à des fins frauduleuses.
Hameçonnage sur votre Assurance Maladie
Le cybercriminel transmet un message (mail ou SMS) en se faisant passer pour l’Assurance Maladie ou de sa plateforme Internet Ameli. Ces messages annoncent un remboursement en attente ou la mise à disposition d’une nouvelle carte Vitale. La victime doit cliquer sur un lien le dirigeant vers un site frauduleux d’apparence officielle. Ensuite, elle renseigne les informations demandées bancaires et personnel et le tour est joué.
Phishing sur votre vignette Crit’Air
Comme toutes les autres tentatives de phishing, la victime reçoit un message avec lien (SMS ou mail) lui rappelant l’obligation de commander rapidement une vignette Crit’Air afin de se conformer à la réglementation en vigueur sous peine d’amende. La victime clique sur un site Web frauduleux pour entrer des informations personnelles et bancaires dans le but de les voler à des fins frauduleuses.
Comment peut-on reconnaître un mail de phishing ?
Les tentatives de phishing sont de plus en plus nombreuses mais il existe des techniques pour dissocier un vrai mail d’un faux. En effet, les e-mails frauduleux affichent souvent des signes avant-coureurs détectables comme des offres alléchantes, le noms de pièces jointes, les adresses de livraison qui sortent de l’ordinaire et les fautes d’orthographe. Si vous avez un doute et pour vous aider à identifier les emails de phishing, le site Cybermalveillance.gouv.fr vous donne les principaux signaux à surveiller. N’hésitez pas à le consulter en cas de doute.
Comment signaler une tentative d’hameçonnage ?
Il existe plusieurs moyens de signaler un email ou un SMS frauduleux. Vous pouvez signaler un message à Signal Spam ou au 33700 pour un SMS de tentative ou contacter directement l’organisme ou la société qui a été usurpée pour l’avertir de la tentative d’arnaque. Vous avez également la possibilité de signaler un site de phishing frauduleux à la Phishing Initiative. Il est recommandé de toujours conserver les preuves de phishing reçues (mails, sms) pour les transmettre aux autorités concernées. N’hésitez pas à consulter le site Cybermalveillance.gouv.fr qui fournit toutes les informations sur les signaux à surveiller.