Mes projets

Phishing : mieux le comprendre pour éviter les fraudes

15/11/2021

« Vous avez été sélectionné parmi tous les candidats de notre jeu-concours. Vous remportez la somme de 2 000 € ! Félicitations ! Dépêchez-vous de cliquer sur le lien pour obtenir votre récompense »

Cela paraît trop beau pour être vrai, n’est-ce pas ? Vous avez raison. Vous n’allez malheureusement pas gagner d’argent aussi facilement. Vous êtes victime d’une tentative de « Phishing » !

Qu’est-ce que le Phishing ?

De nos jours, internet est confronté à toutes sortes d’arnaques, parmi lesquelles se trouve le phishing (également appelé « hameçonnage »). Cette technique d’escroquerie a fait son apparition dans les années 1990. Le terme « phishing » est issu de la contraction de deux mots anglais : « phreaking » qui est le piratage de lignes téléphoniques et « fishing » se traduisant par « pêcher » en français. Le phishing consiste à aller à la pêche aux données sensibles via des cyberattacks.

Plus de détails

Le phishing a de nombreuses facettes. Le fraudeur utilise le phishing afin d’obtenir les données sensibles d’un individu. Pour cela, il peut se faire passer pour une organisation (banque, administration…) en qui sa future victime a confiance et réclamer des informations confidentielles. Le pirate peut également créer de faux jeux concours afin de leurrer l’internaute en lui faisant croire qu’il a gagné une grosse somme d’argent ou un objet de grande valeur. Dans la plupart des cas, le phishing consiste à voler les coordonnées bancaires d’un individu mais il arrive que l’escroc aille plus loin et pousse l’arnaque jusqu’à l’usurpation d’identité.

Quels sont les différents types de Phishing ?

Le phishing par mail est le plus commun et vise, la plupart du temps, une cible très large d’individus.
Le spear phishing (= hameçonnage ciblé) a pour cible un groupe d’individus ou un individu prédéfini. Le cybercriminel se fait passer pour le supérieur hiérarchique de sa victime et la pousse à modifier ou à lui confier des données confidentielles d’une entreprise de toute urgence. Cette forme d’attaque est plus difficile à détecter puisque le pirate a un objectif précis et met plus de soin dans la préparation de son piège.
Le whaling (= pêche à la baleine) vise les PDG, les directeurs d’entreprise, les directeurs financiers et les directeurs de l’industrie. Souvent, le cybercriminel se fait passer pour un supérieur dans une entreprise afin d’atteindre d’autres membres importants de celle-ci. Son ultime but est de récolter de l’argent et des informations sensibles.
Le smishing est une arnaque réalisée par SMS sur téléphone portable. Le message contient un lien ou un numéro de téléphone pouvant engendrer une attaque de smishing si le récepteur clique dessus.
Le vishing est une arnaque se déroulant par appel vocal. L’escroc se fait passer pour une organisation en laquelle un individu a confiance. Il peut vous demander des renseignements sur vos données sensibles ou vous faire installer un logiciel malveillant sur votre appareil.
Le phishing par moteur de recherche (= spamdexing ou cheval de Troie) est une technique qui consiste à faire en sorte d’être le meilleur résultat d’une recherche Google grâce au référencement naturel. Une fois ce but atteint, il y a de fortes chances pour que de nombreux individus cliquent sur le lien qui les mènera vers un site frauduleux sur lequel le pirate informatique tentera d’obtenir les données sensibles de l’internaute.

Quelques clés pour reconnaître une tentative d’attaque de Phishing

Une grande récompense : vous n’avez participé à aucun jeu-concours, loterie ou autre, pourtant vous êtes le grand gagnant d’une grosse somme d’argent ou d’un objet d’une valeur inestimable. Pour obtenir votre dû, le message vous demande de cliquer sur un lien. Ne cliquez surtout pas ! Vous n’avez rien gagné. La récompense est l’appât. Vous êtes victime d’une tentative de phishing.

prevention reconnaitre une tentative de phishing banque des caraibes

L’urgence : vous recevez un message vous demandant de récupérer urgemment un colis avant qu’il ne soit renvoyé à l’expéditeur ou un message vous poussant à mettre à jour immédiatement vos informations confidentielles. Le pirate va installer un sentiment d’urgence qui poussera, certains individus, à cliquer sur le lien afin de vérifier que tout est en ordre.
Menace : Il se peut qu’un cybercriminel vous menace dans sa tentative de phishing tout en se faisant passer pour votre banque ou un autre organisme en lequel vous avez confiance. Sachez qu’aucune organisation officielle vous menacera de fermer votre compte du jour au lendemain si vous ne leur envoyez pas vos coordonnées bancaires. L’escroc peut également vous faire du chantage telle que la sextorsion (le pirate menace de divulguer des photos ou vidéos intimes d’un individu si celui-ci n’envoie pas ses coordonnées bancaires).
Fautes : Les fautes d’orthographe, grammaire et de syntaxe sont récurrentes dans ce type d’arnaque.
Nom de l’organisation : Lorsque vous recevez un message qui vous semble suspect, vérifiez impérativement le nom de l’organisation qui prétend vous l’avoir envoyé. Parfois une seule lettre change avec le nom officiel de l’entreprise à laquelle vous faites confiance. Par exemple : Aple au lieu de Apple.
Le lien : Si vous êtes sur ordinateur, passez le curseur de votre souris sur le lien qui est présent dans le mail. Ne cliquez pas. En passant le curseur dessus, vérifiez si l’URL du site correspond bien à celui de l’organisation officielle qui semble vous avoir envoyé ce message.

Ne vous laissez pas avoir et n’hésitez pas à partager cet article autour de vous pour sensibiliser votre entourage au phishing.

Vous pouvez également vérifier ou signaler un site frauduleux sur Phishing Initiative :
https://phishing-initiative.fr/contrib/

Restons tous vigilants !