Chaque jour, plus de 70 adresses mails sont impliquées dans des tentatives de phishing. (appelé aussi hameçonnage) La France est le deuxième pays le plus visé au monde (une attaque sur dix en moyenne). 30 000 sites ou adresses URL on été bloqués l’an dernier en France.
Qu’est-ce que le phishing ?
Le phishing (nommé aussi hameçonnage ou filoutage) est un technique de fraude utilisé par des escrocs pour tenter d’accaparer vos données personnelles.
Ces derniers font croire à leurs victimes via un mail qu’elles s’adressent à une grande entreprise (Bouygues, PayPal etc.) pour leur soutirer des informations spécifiques et prendre possession de leurs biens et de leurs identités. (mot de passe, numéro de carte de crédit etc.)
Comment le reconnaître ?
Les messages sont envoyés sur les boîtes mails et demandent généralement une confirmation de compte ou de payer une certaine somme sous peine de dédommagement. Vous êtes alors redirigé vers un faux site où vous devez rentrer vos informations de compte et en résulte un vol d’identité.
Effectivement, les cibles les plus courantes sont les services bancaires en ligne, les sites de ventes tels que E-Bay ou encore le système de paiement PayPal.
On peut répertorier quelques indices pour détecter un phishing rapidement.
-
Le message comporte une URL bizarre
Parfois l’URL est valable, cependant si vous passez votre souris sur l’adresse, celle-ci devrait être similaire à celle du lien hypertexte. Si cette dernière est différente, il y a de forte chance que le message soit une arnaque.
-
Les URL contiennent un nom de domaine trompeur
Si le nom du domaine apparaît à la fin de l’adresse URL, le site est officiel et donc fiable. (ex : office.microsoft.com est un « enfant » de microsoft.com)
Or, si le nom de domaine apparaît au début de l’adresse URL comme ici : microsoft.com32.info, il s’agit d’un faux nom de domaine.
ATTENTION : le nom de domaine microsoft.com32.info existe vraiment et il s’agit réellement d’une arnaque.
-
Le mail contient des fautes d’orthographe et de grammaire
Une grande entreprise est toujours très pointilleuse en terme de fautes d’orthographe. Tous les messages envoyés sont vérifiés au niveau de la grammaire, de l’orthographe et de la légalité. Si vous recevez un message (ou mails) comportant des fautes d’orthographe, celui-ci n’a pu être envoyé d’une grande société surtout si celle-ci réclame de l’argent.
-
Le message vous demande des informations personnelles
Votre banque n’a pas besoin de vous contacter par mail pour connaître votre numéro de compte. Celui-ci est déjà répertorier dans les données bancaires de votre conseiller. De même, une grande entreprise également ne vous demandera jamais votre mot de passe ou votre numéro de carte de crédit par mail.
-
On vous demande d’envoyer de l’argent pour payer des frais
C’est l’un des signes les plus révélateurs pour savoir si c’est une tentative de phishing. En effet, il est possible que les escrocs viennent vous demander de l’argent tôt ou tard soit disant pour payer des frais, des taxes ou même des redevances.
Que faire en cas d’usurpation d’identité ?
- Contactez au plus vite le service relations clients ou votre conseiller bancaire. Il réinitialisera vos codes de banque à distance.
- Surveillez votre compte en banque. En cas de débit frauduleux, faites opposition auprès de votre banque et déposez plainte à la police.
- Lorsque vous saisissez des informations sensibles, assurez-vous que le navigateur est en mode sécurisé. C‘est-à-dire que l’adresse dans la barre du navigateur commence par https avec un cadenas vert est affiché dans la barre d’état, et que le domaine du site dans l’adresse correspond bien à celui annoncé (gare à l’orthographe du domaine) !
Comment nous trompent-ils ?
Certaines tentatives de Phishing sont bien moins visibles que ce que l’on pense. On s’y méfie d’autant plus. Certains utilisent même une adresse à rallonge dont on ne voit pas l’intégralité dans le navigateur. Ou encore un nom de domaine similaires avec la société piraté. D’autres utilisent même des codes en Java-script qui permettent de masquer la fausse adresse par une autre bien réelle.
Quelles solutions ?
Par conséquent, un site Phishing-initiative est mis à disposition pour prévenir des sites malveillants et des adresses URL soupçonneuses pour lutter contre les attaques du phishing. Le site en question sera ainsi bloqué sur tous les navigateurs.
De plus, cette association répertorie toutes les tentatives de phishing depuis 2011.
Et depuis 2015, l’association partage ses données avec la plateforme PHAROS du Ministère de l’Intérieur qui permet également de signaler des adresses.
« Les victimes vont continuer à être nombreuses puisque les pirates innovent constamment. Les données sont disponibles pour facilement faire des attaques plus personnalisées. On réutilise les noms et des données de catégories socio-professionnelles ou des données de lieux d’habitation qui vont faire en sorte que la victime est plus susceptible
A indiqué Vincent Hinderer, secrétaire général de l’association Phishing Initiative.
Partant de ce fait, il est difficile de se battre contre ce type de délinquance. La solution ne réside donc pas dans la lutte, mais plus dans la prévention.
