Le Phishing
Quel-ce que le phishing (ou hammeçonnage) ?
Le principe du phishing consiste à récupérer des données personnelles sur internet. Le moyen utilisé est l’usurpation d’identité, adaptée au support numérique. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne).
Comment fonctionne le phishing :
Vous recevez dans votre boîte mail personnelle ou professionnelle un mail à connotation alarmiste (« Votre compte va expirer », « Vous venez d’effectuer un achat », etc.) ou une information de remboursement en votre faveur provenant d’une source de confiance (banque, CAF, opérateurs de téléphonie, impôts, sites de VAD, etc.).
Dans le mail, l’organisme vous invite à vous rendre sur une page de formulaire sur laquelle seront demandées et récupérées vos données personnelles, souvent à caractère financier (coordonnées bancaires). Les mêmes techniques sont utilisées en entreprise pour voler des données à caractère professionnel.
Pendant toute la procédure, vous aurez l’impression d’être sur le site officiel de l’opérateur.
Ces mails peuvent également être accompagnés d’une pièce jointe généralement présentée comme une facture. Le message est rédigé de façon à inciter l’internaute à l’ouvrir ce qui aura pour effet d’infecter la machine.
Pendant toute la procédure, vous aurez l’impression d’être sur le site officiel de l’opérateur.
Ces mails peuvent également être accompagnés d’une pièce jointe généralement présentée comme une facture. Le message est rédigé de façon à inciter l’internaute à l’ouvrir ce qui aura pour effet d’infecter la machine.
Qui est concerné par le phising ?
Tout le monde peut être victime d’un phising dans sa vie personnelle comme dans sa vie professionnelle.
Dans le cadre professionnel, certaines populations sont plus à risque que d’autres. Toutes les personnes pouvant divulguer des informations sur les collaborateurs ou qui peuvent faire des virements bancaires ou remplir des coordonnées bancaires pour l’entreprise. Les hackeurs récupèrent généralement les informations sur les réseaux sociaux du type LinkedIn ou Facebook.
Dans le cadre professionnel, certaines populations sont plus à risque que d’autres. Toutes les personnes pouvant divulguer des informations sur les collaborateurs ou qui peuvent faire des virements bancaires ou remplir des coordonnées bancaires pour l’entreprise. Les hackeurs récupèrent généralement les informations sur les réseaux sociaux du type LinkedIn ou Facebook.
Comment s’en protéger ?
-
Soyez attentifs aux signes suivants :
- Les mails constituant des tentatives de phishing sont très généralement anonymes (« Cher client », « Madame, Monsieur », etc.).
- Les liens figurant sur la page internet du formulaire sont souvent inactifs.
- Les centres des impôts, les banques et organismes sociaux (CAF, mutuelles, etc.) n’envoient jamais ce genre de mail pour vous demander des informations personnelles. Les mails sont envoyés dans votre espace personnel sur le site de l’organisme et vous recevez une notification disant que vous avez reçu un mail dans cet espace.
- Être vigilant lorsqu’un mail demande des actions urgentes.
- Si vous recevez ce type de mail, ne cliquez pas sur le lien mais rendez-vous directement sur le site de l’organisme en question en tapant l’adresse de celui-ci dans le navigateur et connectez-vous à votre espace.
- Utilisez un filtre contre les faux sites internet : la plupart des navigateurs (Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, Safari) proposent une fonctionnalité d’avertissement contre les faux sites. Leurs principes peuvent être différents (liste noire, liste blanche, mot clé, etc.) et sans être parfaites, ces fonctions aident à maintenir la vigilance de l’utilisateur.
- Utilisez un filtre « anti-spam » : la plupart du temps ces tentatives d’escroquerie se diffusent par le biais de courriers électroniques. Même si les solutions de filtrage ne sont pas parfaites, elles permettent de réduire leur nombre. Chaque fournisseur de messagerie propose des solutions de protection, n’hésitez pas à vous rapprocher de ces derniers.
- D’une manière générale, soyez vigilant et faite preuve de bon sens : ne croyez pas que ce qui vient d’internet est forcément vrai.
Comment réagir ?
Si vous avez un doute sur un message reçu, il y a de fortes chances que celui-ci ne soit pas légitime :
- N’ouvrez surtout pas les pièces jointes, ne cliquez pas sur les liens et ne répondez-pas.
- S’il s’agit de votre messagerie personnelle, supprimez le message puis videz la corbeille.
- Prenez contact rapidement avec l’organisme qui vous aurait envoyé ce mail.
- S’il s’agit de votre compte de messagerie professionnel : transférez-le au service informatique et au responsable de la sécurité des systèmes d'information de votre entreprise pour vérification. Attendez leur réponse avant de supprimer le mail.
Et si vous êtes victime d’une escroquerie en ligne ?
Signalez les escroqueries auprès du site www.internet-signalement.gouv.fr, la plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements. Pour s’informer sur les escroqueries ou pour signaler un site internet ou un courriel d'escroqueries, un vol de coordonnées bancaires ou une tentative d’hameçonnage.
Rendez-vous sur cybermalveillance.gouv.fr, la plateforme nationale d’assistance aux victimes d’actes de cybermalveillance. Que vous soyez un particulier, une entreprise ou une administration, retrouvez :
Rendez-vous sur cybermalveillance.gouv.fr, la plateforme nationale d’assistance aux victimes d’actes de cybermalveillance. Que vous soyez un particulier, une entreprise ou une administration, retrouvez :
- des conseils / vidéos pour sensibiliser votre entourage professionnel ou personnel,
- des services de proximité en cas de dommages causés par une attaque informatique.