Qu’est ce que le phishing ?
Qu'est-ce que le phishing et comment s'en prémunir ?
Vous avez certainement déjà reçu un sms étrange provenant d’Ameli, votre banque, le compte CPF, chronopost, paypal ?
« Votre solde CPF arrive à échéance », « Ameli vous rembourse X euros » ou encore « un colis est bloqué » ?
Il s’agissait sans doute d’une tentative de phishing !
Mais l’hameçonnage (ou phishing) qu’est-ce que c’est ? Lord Privacy revient sur ce sujet d’actualité et vous donne quelques astuces pour savoir les identifier et augmenter son degré de vigilance.
Définition Phishing
C’est la forme d’escroquerie la plus répandue sur internet.
Le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, CAF, etc.) en utilisant son nom et son logo. Il vous envoie un mail ou un sms ou vous appelle pour vous demander généralement de « mettre à jour » ou de « confirmer vos informations à la suite d’un incident technique », notamment vos coordonnées bancaires (numéro de compte, codes personnels, etc.).
L’objectif ? Jouer sur le sentiment d’urgence pour vous pousser à communiquer des informations.
Etape 1
Vous recevez un message (email, appel téléphonique, sms).
Ce message semble provenir d’un tiers de confiance.
Exemple de message de phishing
Etape 2
L’objectif en créant un sentiment d’urgence : vous pousser à agir !
Le message vous demandera par exemple de cliquer sur un lien pour :
-
- réinitialiser un mot de passe ;
- annuler une commande ;
- renseigner des données pour recevoir quelque chose ;
- mettre à jour des données ;
- renseigner vos coordonnées bancaires ;
- ou vous poussant à télécharger une pièce jointe.
Etape 3
Vous avez cliqué sur le lien contenu dans le mail, le sms ?
Vous êtes alors redirigé vers un site frauduleux qui reproduit le site ou l’application de manière plus ou moins fidèle.
Le plus souvent le site prend l’apparence de votre banque, une administration, une entreprise de services de télécommunication ou de livraison. Le message anxiogène vous invitant à communiquer de toute urgence des données confidentielles pour continuer à bénéficier de certains services (carte vitale, etc.), faux remboursements d’impôts, arnaques à la livraison de colis demandant à l’usager de débourser des sommes complémentaires pour non-livraison par exemple…
Exemple de redirection
Etape 4
Vous renseignez les données demandées.
Il peut s’agir de votre login et votre mot de passe, de vos coordonnées bancaires, etc…
Etape 5
Les données sont transmises aux cybercriminels.
Ils peuvent au choix soit exploiter immédiatement les données soit les revendre.
Oups ! Trop tard !
Vous avez déjà communiqué vos données ?
- S’il s’agit de vos données bancaires : faites immédiatement opposition.
- Si vous avez communiqué un mot de passe que vous utilisez pour d’autres sites, modifiez-le immédiatement.
Vous pouvez :
- Déposer plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez si vous constatez que des informations personnelles servent à usurper votre identité ou si vous constatez des débits frauduleux sur vos comptes bancaires,
- Signaler à différents sites : https://signal-spam.fr/ ou ici https://www.33700.fr/
- Contacter et demander de l’aide : https://www.internet-signalement.gouv.fr/PharosS1/ ou https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Info-Escroqueries ou https://www.cybermalveillance.gouv.fr/diagnostic/accueil
Avant de passer aux astuces et conseils pour reconnaitre ces messages malveillants, retenez bien la chose suivante :
Aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone !
Nos astuces, conseils et bons réflexe
1. Vérifier l’adresse email de l’expéditeur
il est important de toujours vérifier l’adresse de l’expéditeur. Ce nom ne corrrespond pas toujours au courriel affiché dans votre messagerie électronique !
Pour vérifier le nom et l’adresse email de l’expéditeur, vous pouvez positionner la souris sur l’adresse e-mail si nécessaire pour faire afficher l’adresse enregistrée dans l’en-tête de l’e-mail. Il faut être particulièrement vigilant concernant le nom de domaine de l’expéditeur (ce qui est après l’arobase).
C’est très facile de se faire passer pour un tiers de confiance !
Les cybercriminels ne manquent parfois pas de malice et ont plus d’un tour dans leur sac. Ils jouent parfois sur les ressemblances des caractères (adresse du site homographe ou typosquatting) :
-
- mettre un « i » en majuscule en lieu et place d’un « L ». Lcl.fr ou lcI.fr (le second est L C « i majuscule »)
- remplacer la lettre o par le chiffre zéro. Orange avec 0range (le second à un 0)
2. Etre attentif à la mise en page, le contenu, la syntaxe et les fautes d’orthographe
La mise en page est hasardeuse et les fautes d’orthographe nombreuses ? Le contenu du message n’a ni queue ni tête et la syntaxe est incorrecte ?
Plutôt facile à déceler ! Il s’agit des tentatives d’hameçonnage les plus simplement identifiables.
Tous les SMS ou mails de phishing ne sont toutefois pas truffés de fautes d’orthographes et donc facilement repérables. Attention aujourd’hui ils sont beaucoup mieux rédigés et de plus en plus difficiles à détecter !
3. Toujours regarder les liens avant de cliquer
Lien court = attention danger !
Bon réflexe à adopter : ne jamais cliquer directement sur une URL – raccourcie ou non – qui vous est envoyée par SMS ou par email.
Vous pouvez survoler avec votre curseur (SANS CLIQUER) le lien qui fera apparaitre l’url complète.
NB : cette technique n’est malheureusement pas réalisable sur un téléphone portable.
Autres manières de procéder, plus sécurisées encore :
-
- taper l’adresse du site en question directement depuis votre navigateur ;
- connecter vous directement sur votre compte personnel pour voir si vous avez un message, une notification, une nouvelle facture etc.. ;
- contacter la personne supposée avoir envoyé le message par un autre biais.
4. Ne jamais ouvrir ou télécharger les pièces jointes suspectes !
Ne consultez une pièce jointe que si l’émetteur est connu et de confiance et ce, après avoir vérifié que le contenu du mail était bien cohérent.
Au moindre doute, contactez directement l’expéditeur qui vous confirmera ou non l’envoi de cette pièce jointe.
Souvenez-vous que votre antivirus (même s’il est bien mis à jour) ou que votre anti-spam n’est malheureusement pas infaillible !
5. Message urgent/inattendu/trop alléchant : augmenter votre vigilance
L’objet du message est-il succinct ou alarmiste ? « Remboursement de votre facture »
Au contraire il est très alléchant ou chercher à éveiller votre curiosité ? « Regardez ce que je viens de trouver… » ou « Est-ce bien vous sur cette photo ? » Méfiance !
Même sous l’apparence d’un message officiel le caractère inattendu d’un message doit vous faire redoubler de vigilance !
Découvrez les simulations phishing PhishU
→OPPENS fournit un kit de communication permettant d’échanger avec vos collaborateurs sur les simulations de phishing réalisées.
