Le phishing (également appelé hameçonnage) est une technique visant à exploiter aussi bien des failles informatiques que humaines pour récupérer des données. Cela consiste la plupart du temps à en une escroquerie financière ou bancaire.
Des personnes malveillantes utilisent cette technique pour usurper une identité et se faire passer pour des sociétés connues, des institutions ou organismes officiels, ou encore des organismes financiers qui vous sont familiers en vous envoyant des emails frauduleux, et récupèrent ainsi des identifiants, des mots de passe, des numéros de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.
Il peut s'agir par exemple d’une banque mais aussi d’un opérateur téléphonique, de la Poste, ou d’un réseau social de type Facebook ou Twitter, ou de toute autre entité.
Son principe est simple : un pirate crée un site web en tout point identique à celui de la société visée et envoie un email aux internautes pour les inviter à se connecter à ce site frauduleux. Cet e-mail est volontairement alarmiste. Il peut s'agir par exemple d'un compte bientôt expiré, d'un colis reçu ou d'un remboursement que vous devez recevoir.
Vous êtes invité à cliquer sur une page pour renseigner vos données personnelles. Ces données seront ensuite récupérées par l'auteur du phishing (ou hameçonnage) qui les utilisera pour effectuer des achats ou des opérations bancaires.
Dans le cas d’une banque par exemple, les clients cliquent sur le lien renvoyant sur le faux site et entrent leurs coordonnées pour s’identifier. Le pirate usurpe l’identité de la victime en se connectant à sa place et de ce fait, accède à ses informations bancaires lui ouvrant ainsi une brèche vers de nombreuses arnaques possibles.
Quels sont les moyens de se protéger contre le phishing ?
Aucune administration ou société ne demande vos données bancaires ou votre mot de passe.
Il ne faut pas répondre à l'e-mail ni cliquer sur les liens / images contenus dans le message.
Voici quelques conseils et bonnes pratiques :
1. Toujours se connecter en tapant directement l’adresse du site à visiter dans la barre d'adresse de votre navigateur (par exemple votre banque ou tout autre site sensible) ou en utilisant un lien vérifié et conservé dans vos favoris / marque-pages. Méfiez-vous toujours des adresses URL que vous ne connaissez pas et des résultats dans les moteurs de recherche.
2. Éviter de passer par un moteur de recherche pour accéder à site sensible (par exemple celui de votre banque) car un site de phishing pourrait apparaître dans la liste des résultats et vous tromper.
3. Sites internet sécurisés : Saisissez vos informations personnelles et coordonnées bancaires (identifiants, numéros de compte, CB, etc.) uniquement sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence toujours par HTTPS au lieu de HTTP.
4. Ne pas cliquer sur les liens contenus dans ces courriers électroniques : les liens affichés dans les courriers électroniques peuvent être trompeurs et vous diriger vers des sites frauduleux. En cas de doute, il est préférable de s'abstenir et de saisir manuellement l’adresse dans le navigateur.
5. Les centres des impôts et gouvernementaux, ou encore les banques, n’envoient jamais d'e-mails vous demandant de vérifier vos informations par exemple, ou de saisir vos informations personnelles.
6. Les banques et organismes sociaux (CAF, mutuelles, etc.) n’envoient jamais non plus ce genre de courriel : Ils ne passent jamais par un courrier électronique pour demander à leurs clients de modifier / vérifier / saisir leurs informations personnelles. Pour se connecter à un site sensible (banque, impôts, mutuelle, etc.) il est toujours préférable de saisir manuellement l’adresse URL du site dans la barre d'adresse de votre navigateur.
7. Toujours être vigilant lorsqu’un courriel demande des actions urgentes.
8. Utiliser un logiciel anti-spam
9. Ne jamais répondre ou transférer ces courriels.
10. Vérifiez tous les détails de l'e-mail : l'expéditeur, les éventuelles fautes d'orthographe, les logos, images, les adresses URL, etc.
En cas de doute, incident ou problème, prendre contact rapidement avec l'organisme dont l'identité a été usurpée, son agence bancaire ou l’organisme qui aurait soit-disant envoyé ce courriel.
Si vous recevez un e-mail sur lequel vous avez un doute, ne faites rien et contactez l’expéditeur officiel du courriel afin de l’identifier et de savoir s’il a véritablement envoyé l'e-mail en question.
Restez en alerte, les tentatives de hameçonnage sont de plus en plus nombreuses par e-mail et par téléphone.
Faire un signalement
Vous pouvez signaler une tentative de phishing sur le site Phishing Initiative. Ce signalement permettra d'alimenter les bases de référence des principaux navigateurs pour bloquer l'accès à ces sites.
➞ Signaler un site de phishing
Vous pouvez aussi signaler le phishing aux services de police sur le site internet signalement (Pharos).
La plateforme PHAROS (plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements) permet de signaler les sites internet dont le contenu est illicite, mais aussi la réception de phishing.
Votre signalement sera traité par un service de police judiciaire spécialisé dans ces questions, l’office central de lutte contre la criminalité et de la communication (OCLCTIC).
➞ Signaler un contenu internet illégal (internet-signalement : Pharos)
Enfin, vous pouvez également signaler les tentatives de phishing sur le site www.phishing-initiative.com, édité par l’association Phishing Initiative et destiné à alimenter les principaux navigateurs afin que l’accès à ces sites soit bloqué.
Vous pouvez aussi contacter Info Escroqueries.
Par téléphone : 0 805 805 817
Du lundi au vendredi de 9h à 18h30.
Numéro vert (appel gratuit depuis la France).
Signalement auprès de SafeBrands
Dans le cadre de notre activité de Bureau d'enregistrement et d'hébergeur, si un de nos clients nous signale un contenu de type phishing et que le caractère illicite de ce signalement est manifeste, alors nous appliquons une procédure de suspension du domaine / désactivation de l’hébergement incriminé, ou a minima nous faisons en sorte que les données soient supprimées par le fraudeur.
Plus d'informations : https://www.service-public.fr/particuliers/vosdroits/F34800