Pratique frauduleuse très répandue, le phishing ou "hameçonnage" en français, vise à obtenir les renseignements personnels d'une personne pour usurper son identité. Grâce à un mail, les cybercriminels peuvent parvenir à vous soutirer des informations pour les utiliser à des fins illégales. Dans le cadre du phishing, afin de mieux berner leurs victimes, les cybercriminels se font généralement passer pour quelqu’un de confiance (un proche, un membre du carnet d’adresses...) Cette pratique peut également s'appliquer à d'autres outils de communication : réseaux sociaux divers, téléphones… Pour les SMS, on parle de SMiShing.
Qui sont les principales victimes du phishing ?
Que ce soit dans la sphère professionnelle comme personnelle, l'hameçonnage peut toucher toute entité. Les individus malveillants qui ont recours à ce type de délit ne font aucune différence. Au contraire, ils savent diversifier leurs cibles en s’attaquant aux entreprises comme aux particuliers. Le phishing se présente comme une réelle menace, tant pour le portefeuille que pour l’intégrité même des victimes (chantage, enjeux de réputation, menaces...).
Comment reconnaitre un mail de phishing ?
Les cybercriminels ont développé des techniques assez élaborées leurrer leurs victimes et obtenir les renseignements dont ils ont besoin.
Déroulé classique d'une attaque de phishing :
Un message électronique est envoyé sous l'identité d'un tiers de confiance tel que votre banque, l'administration, un opérateur de téléphonie etc., souvent pour annoncer un défaut de manipulation ou un problème quelconque.
Le message est généralement signé et peut comporter l'identité visuelle, les couleurs et les logos de la structure dont l'identité est usurpée.
Le message comprend un lien sur lequel il vous est demandé de cliquer afin de confirmer ou d'annuler une commande en ligne, de mettre à jour vos données, d'obtenir un remboursement ou encore de recevoir un prix, suivre ou payer un colis etc.
Ces mails peuvent être accompagnés de liens vers des sites internet frauduleux qui entretiennent la confusion. Ces sites, qui ont l'air officiels au premier abord, peuvent vous inviter à remplir des questionnaires, à donner des informations vous concernant (données bancaires, adresse, lieu de travail etc).
Si les cybercriminels parviennent à avoir ces informations, ils pourront s'en servir pour usurper votre identité, retirer de l'argent en votre nom, arnaquer des tiers ou encore commettre des actes illégaux sous couvert de votre identité etc.
Vos données peuvent également être revendues à d'autres criminels, notamment sur le darknet.
Comment éviter de se faire arnaquer via le phishing ?
La meilleure protection reste la connaissance de la pratique et la sensibilisation aux risques découlant de celle-ci. Il convient de se montrer attentif aux détails, du corps du message jusqu'au lien fournit.
Le corps de texte : il peut comporter diverses fautes d’orthographe ou de grammaire et peut avoir des formules de politesse qui ne vous sont pas familières. Il faut toutefois redoubler d’attention car ces messages deviennent de mieux en mieux formulés.
L’adresse de messagerie de l’expéditeur : tous les professionnels ont un nom de domaine qu’ils utilisent pour leurs adresses mails et autres outils de communication. Même si cette vérification ne suffit pas, regardez bien les mots utilisés après le signe @.
Comme ce fut le cas pour le site Paypal très récemment, le lien du site où vous serez redirigé sera différent du site officiel, même si l’interface semble être la même. Vérifiez les mentions légales et l'URL du site internet. Au moindre doute, fermez la page correspondante.
Par précaution, ne communiquez jamais d'informations sensibles par téléphone ou par message électronique.
Utilisez des mots de passe complexes et robustes pour vos différents comptes et applications. Vous pouvez utiliser des gestionnaires de mots de passe pour vous simplifier la tâche. Dès que possible, activez la double authentification.
C'est donc le bon sens et un oeil attentif aux détails qui vous aideront à éviter de devenir une énième victime du pishing par email. Inévitablement, les personnes les moins à l'aise avec les outils informatiques sont les cibles les plus faciles. Autant que possible, il convient d'éviter de cliquer sur les liens présents dans des mails non-sollicités.
Que faire en cas de phishing ?
La première chose à faire est de contacter l’organisme usurpé.
Si vos données bancaires ou vos papiers d'identité ont été dérobés, signalez-le aux autorités compétentes. Dans les cas de données bancaires volées, pensez à faire opposition auprès de votre organisme bancaire.
Changez le mot de passe du site ou du service concerné. Si vous utilisiez le même mot de passe pour d'autres sites ou sessions, modifiez-les également.
Pour plus d’éclaircissements sur les adresses email frauduleuses, vous pouvez continuer à vous informer sur le site Pandasecurity.
Si vous êtes victime d'un mail de phishing ou que vous souhaitez prévenir ce type d'attaques contre votre entreprise, n'hésitez pas à contacter Ker-meur, cabinet d'intelligence économique et de cyber-sécurité spécialisé dans les menaces digitales.