Ne mordez pas à l’hameçon du phishing !

En 2015, deux millions de Français ont été victimes de phishing, une technique consistant à récupérer des données personnelles en se faisant passer pour un organisme officiel (banque, administration…). Com’On vous explique ce procédé et vous donne quelques conseils pour vous prémunir contre les tentatives de phishing.

Qu’est-ce que le phishing ?

Le phishing, alias hameçonnage ou filoutage en français, désigne une forme d’attaque informatique qui passe par des e-mails et par de faux sites Internet.

Les escrocs (aussi appelés phishers) utilisent généralement un e-mail, dans lequel ils se font passer pour une personne ou un organisme de confiance (banque, administration, opérateur de téléphone ou d’Internet, site d’e-commerce…).

Cet e-mail va par exemple vous dire que votre compte a été désactivé et que vous devez vous reconnecter, ou que le support technique du site en question procède à une intervention nécessitant une mise à jour de votre compte. Il peut aussi indiquer que vous bénéficiez d’un remboursement, et que vous devez pour le recevoir entrer vos coordonnées bancaires.

Il vous fournit alors un lien menant vers un faux site Internet, reprenant la charte graphique et le logo de l’organisation réelle, et vous demandant de rentrer des informations personnelles qui seront récupérées par l’auteur du mail. Une fois en possession de ces informations, il peut ainsi usurper votre identité, généralement pour voler de l’argent.

Il existe plusieurs sortes de phishing :

– le spear phishing : un message fortement personnalisé qui vise une personne précise, méthode qui peut être employée sur les réseaux sociaux.

– l’in-session phishing : le pirate tente de récupérer la session utilisateur durant la navigation sur un site officiel, par le biais d’une fenêtre pop-up par exemple.

– Il existe également ce qu’on appelle du phishing sentimental : proposant de faire un don pour un enfant malade, une organisation humanitaire…

– La méthode des faux tirages au sort est aussi courante, vous demandant d’entrer des informations personnelles pour recevoir votre « lot » : par exemple, la célèbre bannière indiquant que vous êtes le millionième visiteur d’un site.

Toutes ces méthodes différentes n’ont qu’un seul but : s’emparer de vos données personnelles. Heureusement, il existe quelques méthodes simples pour reconnaître les procédés de phishing.

Le saviez-vous ?

Le terme phishing vient des mots anglais « fishing », signifiant « pêche », et « phreaking », « piratage de données ». Les pirates vont donc à la pêche des données confidentielles !

phishing

Nous vous présentons Dark Mini’On, la version obscure de notre bon Mini’On !

Comment reconnaître les tentatives de phishing ?

Il existe quelques indices qui pourront vous dire si le mail suspect que vous avez reçu est une tentative de phishing ou non :

– Les mails de phishing sont très souvent écrits dans un français approximatif, donc méfiez-vous si le mail reçu comporte des fautes.

– De même, l’adresse e-mail de l’expéditeur peut dans certains cas être un indice : si quelqu’un qui prétend être votre conseiller bancaire vous écrit d’une adresse en @hotmail.com au lieu de @labanquepostale.fr par exemple, il y a de quoi douter de son authenticité…

– L’adresse web du lien contenu dans le mail sera également légèrement différente de celle du site officiel, par exemple impotsgouv.fr au lieu de impots.gouv.fr

Si vous voulez vérifier que votre compte lié à la société citée dans l’e-mail est toujours actif, n’utilisez pas le lien compris dans l’e-mail, et rentrez directement l’adresse officielle dans votre barre de navigateur pour atterrir sur le vrai site de l’organisme en question.

Que faire pour se protéger du phishing ?

La toute première règle à respecter est de ne jamais répondre à ce genre de courriers, de ne pas cliquer sur les liens qu’ils contiennent, et de ne pas fournir vos informations personnelles !

Il faut savoir que la plupart des banques et administrations ne vous demanderont jamais de communiquer vos identifiants personnels par e-mail : vous pouvez donc appeler la société qui est censée vous avoir envoyé cet e-mail pour vérifier si elle en est bel et bien l’expéditeur. Mais n’utilisez pas pour cela de coordonnées fournies par l’e-mail suspect, qui peuvent elles aussi être fausses…

Ne transférez pas le message en question, et n’ouvrez pas les éventuelles pièces jointes qu’il peut contenir, ils pourraient renfermer des virus espions qui s’installeraient sur votre ordinateur.

Si vous découvrez une adresse de site Internet que vous pensez être une tentative de phishing, vous pouvez la signaler aux autorités en rentrant l’URL dans un site spécialisé, comme Phishing Initiative ou l’association Signal Spam. Il existe également une plate-forme mise en place par le gouvernement : Internet Signalement.

Le saviez-vous ?

Un e-mail sur 26 voyageant sur le Net contient un virus informatique !

20444221888_d7147d9a27_b

En règle générale, lorsque vous saisissez des informations sensibles sur Internet, comme votre numéro de carte bancaire, assurez-vous de bénéficier d’une connexion sécurisée : vous pouvez le vérifier grâce au https présent dans l’URL du site, ainsi que par la présence d’un petit cadenas ou d’une clé.

Vous pouvez installer un filtre anti-spam sur votre messagerie, qui fera déjà un premier tri des e-mails reçus en écartant ceux qui lui semblent douteux. De plus, ayez toujours sur votre ordinateur un antivirus et un pare-feu à jour, pour éviter que votre machine ne soit transformée en « PC zombie », c’est-à-dire infectée par un code qui se servira de votre ordinateur pour envoyer des spams ou opérer des cyberattaques.

Si jamais vous avez cliqué sur un lien fourni par un mail douteux et transmis des informations personnelles, le plus important est d’agir vite : contactez l’organisme concerné en leur expliquant, ils changeront vos mots de passe afin de contrecarrer l’action des hackers. Sachez cependant qu’aucune assurance ne couvre des pertes liées à des procédés de phishing

Même si les solutions anti-spam sont désormais nombreuses, les cybercriminels évoluent eux aussi au rythme des avancées technologiques et changent régulièrement leurs procédés. Les e-mails de phishing semblent de plus en plus crédibles. C’est pourquoi il faut toujours faire preuve de vigilance et contrôler les mails reçus.

Si vous avez le moindre doute quant à un e-mail reçu vous demandant de rentrer vos identifiants, vos mots de passe ou de vous connecter à un compte quel qu’il soit, n’hésitez pas à nous contacter. L’équipe de Com’On vous aidera à démêler le vrai du faux et vous permettra de savoir si ce mail est oui ou non une tentative de phishing.

Avec Com’On, appuie sur On !