Le phishing (ou hameçonnage en français) est une pratique frauduleuse et malveillante sur internet principalement destinée à berner l’internaute pour l’inciter à communiquer des données bancaires et/ou personnelles (comptes d’accès, mots de passe, coordonnées, …) en se faisant passer pour un tiers de confiance.
Le mot phishing est la contraction des mots anglais phreaking désignant le piratage de lignes téléphoniques et fishing « pêche ».
Généralement, l’escroc se fait passer pour un organisme que vous connaissez (banque, Trésor Public, CAF, AMELI, opérateur de téléphonie, fournisseur d’énergie, réseaux sociaux, etc.), en utilisant le logo et le nom de cet organisme.
Il vous envoie un mail, un SMS ou appel téléphonique vous demandant généralement de « mettre à jour » ou de « confirmer vos informations suite à un incident technique », notamment vos coordonnées bancaires (numéro de compte, codes personnels, coordonnées personnelles, etc.).
Le but premier de cette technique est de vous voler des informations personnelles ou professionnelles pour en faire un usage malveillant.
⚠️ Attention, le dernier en date (courant juillet 2022) est un fraudeur qui se fait passé pour un employé du Ministère de la Santé, qui prétend procéder à la réalisation d’un questionnaire sur la vaccination contre la Covid-19. Il tente de vous dérober des informations personnelles afin d’accéder à votre compte France Connect. France Connect est un service qui permet de garantir votre identité pour accéder aux services en ligne tels que le Trésor Public, l’assurance Maladie, la CAF, … Alors redoublez de vigilance !!!! Je vous laisse imaginer l’étendue des dégâts lorsqu’il obtient les bonnes informations. Beaucoup de portes s’ouvrent à eux. Cela me fait froid dans le dos, rien que d’y songer.
⚠️ Ne répondez jamais à ces messages, ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes !
En cas de doute, contactez vous-même votre contact habituel de l’organisme concerné pour vérifier la véracité de l’appel ou du message que vous avez reçu !
Soyez très vigilants sur les informations que vous communiquez !
Comment détecter un phishing et s’en protéger?
Les techniques d’attaque évoluent constamment et se perfectionnent.
Voici quelques mesures préventives pour déjouer certaines pratiques illégales et malveillantes :
❌ Ne jamais communiquer d’informations sensibles par mail, téléphone ou SMS : aucune administration ou société qui se respecte ne vous demandera vos données bancaires ou mot de passe par SMS, téléphone ou mail.
❌ N’ouvrez surtout pas les pièces jointes, et ne répondez pas aux mails.
❌ Lorsque vous recevez un message douteux, ne cliquez pas sur le lien. Positionnez le curseur de votre souris sur ce lien : l’adresse complète du lien s’affichera, et vous pourrez vérifier l’adresse de celui-ci afin de le comparer au lien du site de l’organisme ou société concerné. Si celui-ci ne correspond pas exactement au site concerné ou totalement différent, vous êtes vraisemblablement sur un site frauduleux. Attention, quelques fois un seul caractère peut faire toute la différence. Ne faites pas confiance aux noms de domaine du type impots.gouvv.fr, impots.gouvfr.biz, infocaf.org. Soyez attentif !
✅ Au moindre soupçon, fermez immédiatement le mail et contactez vous-même l’organisme ou la société pour vérifier.
✅ Supprimez le message et videz la corbeille. Pour les messageries d’entreprise, se référer à votre charte informatique si vous en avez une. Généralement, vous devez en informer vos supérieurs et/ou services informatiques (RSSI si vous en avez un dans la structure).
✅ Ayez un mot de passe différents et complexes pour chacun des organismes ou sociétés pour éviter de compromettre tous vos comptes. Il existe des coffres-forts digitaux type 1Password, NordPass, LastPass, Dashlane, Bitwarden, KeePass, …. pour les enregistrer. Certains sont gratuits, d’autres payants, il peut s’agir d’application pour mobile ou d’extension pour navigateur, mais tous permettent de créer et de stocker des mots de passe en toute sécurité. Votre sécurité, a-t-elle un prix ? Regardez notre article Comment créer un mot de passe efficace?
✅ Soyez vigilant aux expéditeurs inconnus.
✅ Portez une attention particulière au niveau du langage du mail, des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées.
✅ Activez la double authentification pour sécuriser vos accès à vos comptes à chaque fois que cela est possible.
Que faire en cas de phishing?
Si vous avez été victime de phishing, la première chose à faire est de changer tous les mots de passe de vos différents comptes, y compris et surtout celui de votre messagerie. En mettant des mots de passe différents et complexes pour chacun des différents organismes.
Si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous constatez des débits frauduleux sur votre compte, faites immédiatement opposition auprès de votre banque ou organisme financier et déposez plainte au commissariat de police ou gendarmerie la plus proche.
Pour être conseillé en cas d’hameçonnage, contactez INFO ESCROQUERIES au 08 11 02 02 17 (service et appel gratuit).
Vous pouvez prendre contact avec Cybermalveillance.gouv.fr dont leur mission est d’assister les particuliers, les entreprises, les associations et collectivités victimes de cybermalveillance.
Comment et à qui déclarer un mail ou site frauduleux ou même suspicieux ?
Dites NON AU PHISHING !
Vous avez reçu un mail frauduleux sans y répondre, vous pouvez le signaler à SIGNAL SPAM.
Ils se chargeront de recueillir toutes les informations techniques pour identifier le spammeur. Ils se chargeront de qualifier le signalement et de redistribuer les informations utiles à la lutte contre le spam.
Pour signaler un spam SMS ou un spam vocal auprès de la plateforme de lutte contre les spams vocaux et sms, composez le 33700.
Vous pouvez également signaler l’adresse URL d’un site internet frauduleux à PHISHING INITIATIVE. Ce service offre à tout navigateur la possibilité de lutter contre les attaques d’hameçonnage. Il vous permet d’être acteur dans la lutte contre la cybercriminalité afin d’empêcher les autres internautes d’être victime de cette fraude.
Depuis le début de l’année, plus de 99 000 URL ont été soumises à ce contrôle.
Tous les éléments de cet article sont donnés à titre d’information. Ils ne sont pas forcément exhaustifs et ne sauraient se substituer aux textes officiels.
Seriez-vous capable de déjouer toutes les compromissions de phishing?
Certains hameçonnages sont faciles à débusquer, d’autres le sont beaucoup moins.
Vous souhaitez vous tester pour savoir si vous êtes susceptible de détecter toutes les tentatives de phishing ?
Pas de souci, nous avons un site à vous recommander sur lequel vous pouvez vous soumettre à un quiz avec différentes expérimentations pour vérifier votre concentration.
Arriverez-vous à dissocier le vrai du faux ? Votre vigilance, sera-t-elle infaillible ?
Pour en avoir le cœur net, démarrez le test phishingquiz !