- Zéroblabla
- Ma vie pratique
- Conso
- Phishing : se protéger des mails frauduleux
Page mise à jour le 26/06/2024
Nos conseils pour vous protéger contre le phishing
Nous avons tous déjà été confrontés à des tentatives de phishing. Le phishing est une forme de cyberattaque qui consiste à envoyer des SMS ou des e-mails frauduleux dans le but de dérober vos informations personnelles. Voici quelques conseils pour vous protéger contre cette menace.
Le phishing est une technique d’escroquerie et de piratage informatique qui passe par un mail, un site internet et qui vise à dérober des données personnelles.
© Shutterstock
Quelle est la définition du phishing ?
Une arnaque via un SMS ou un e-mail frauduleux
Par définition, le phishing – aussi appelé « hameçonnage » en français – est une pratique frauduleuse visant à tromper les consommateurs pour obtenir leurs données personnelles, professionnelles et/ou bancaires. Ces informations pourront ensuite servir aux escrocs pour vous dérober de l'argent, usurper votre identité ou vous faire payer un service fictif.
L’hameçonnage passe le plus souvent par l'envoi d'un e-mail ou d’un SMS frauduleux semblant provenir d'un organisme officiel (service des impôts, Ameli, Caf, etc.) ou d'un service familier (opérateur téléphonique, banque, service de livraison de colis, etc.). Le message vous incite à visiter une page web afin d'y renseigner vos données personnelles.
BON À SAVOIR
Le phishing peut aussi passer par un appel téléphonique. Un message automatique est laissé sur votre messagerie : il vous invite à rappeler en urgence un numéro qui, bien souvent, est surtaxé.
L’hameçonnage : une forme de cyberattaque
L’hameçonnage est une technique de cyberattaque. Ce terme englobe toutes les attaques numériques malveillantes, visant notamment à obtenir vos informations personnelles afin de les exploiter frauduleusement ou de les revendre.
DES DEMANDES D'ASSISTANCE EN HAUSSE
En 2023, 280 000 demandes d'assistance ont été réalisées sur la plateforme Cybermalveillance.gouv.fr, un service officiel dédié aux victimes de cyberattaques. Pour les particuliers, cela représente une augmentation de 13 %(1) par rapport à l’année précédente.
Parmi les formes de cyberattaques, voici quelques-unes :
- Le rançongiciel : il s'agit d'un logiciel malveillant, aussi appelé « ransomware » en anglais, que les pirates informatiques vous font télécharger à votre insu. Celui-ci va alors chiffrer vos données et vous demander une rançon pour les débloquer.
- Le piratage de compte en ligne : ce procédé consiste à obtenir par divers moyens (essai de nombreuses combinaisons, utilisation des données fournies par l'internaute, etc.) votre mot de passe sur un service. Le plus souvent, il s'agit d'un service de messagerie, de réseaux sociaux ou encore de banque.
- L'arnaque au faux support technique : cela consiste à bloquer l'ordinateur de la victime via un message indiquant un problème de sécurité informatique. L'internaute est alors invité à contacter un prétendu support technique afin d'être dépanné.
- L'attaque par déni de service : cette technique consiste à surcharger un service ou un système informatique en lui envoyant un très grand nombre de requêtes afin de le rendre inaccessible. Elle concerne davantage les organisations (entreprises, services publics, etc.).
Comment se déroule une tentative de phishing ?
Un message alarmiste pour récupérer vos données personnelles
Les attaques par hameçonnage passent le plus souvent par l'envoi d'un message alarmiste et urgent. Par exemple :
- vous avez une facture impayée (impôts, électricité, etc.) et vous devez la payer rapidement sous peine de pénalités de retard ;
- une erreur financière en votre faveur a été commise et vous devez suivre certaines indications pour en bénéficier ;
- votre colis est en attente et vous devez agir rapidement afin qu'il ne soit pas renvoyé à l'expéditeur.
38 % DES DEMANDES D’ASSISTANCE
En 2023, près de 4 demandes d'assistance des particuliers sur 10 concernaient l'hameçonnage. Il s'agit de la principale cybermenace, loin devant le piratage de compte (17,1 %), le faux support technique (9,6 %) et les virus (5,5 %)(2).
L’e-mail ou SMS frauduleux reprend généralement la charte graphique, le logo et/ou les éléments de vocabulaire des administrations et des entreprises afin de vous tromper. Si vous cliquez sur le lien, vous serez alors invité à communiquer vos informations personnelles (nom, prénom, numéro de téléphone, numéro de carte bancaire, date de naissance, etc.).
L’objectif du phishing est de vous escroquer financièrement
Le phishing peut tout d'abord viser à vous extorquer de l'argent immédiatement : c'est le cas si vous autorisez un prélèvement ou si vous rappelez un numéro surtaxé par exemple.
Mais les pirates peuvent aussi se servir de vos informations personnelles pour vous nuire à court ou moyen terme, le plus souvent en usurpant votre identité ou en vous dérobant de l’argent. Les données transmises peuvent en effet être utilisées pour se connecter à vos comptes (banque, site e-commerce, etc.), faire des demandes en votre nom ou encore réaliser des achats.
Les 5 exemples de phishing les plus courants
Pour mieux vous protéger contre ce risque, découvrez une sélection non exhaustive des principales techniques de phishing.
- La fausse facture : vous êtes sommé de payer rapidement une facture impayée pour un bien ou un service que vous n'avez jamais acheté.
- Le faux remboursement : vous êtes invité à communiquer vos informations afin de bénéficier d'un remboursement fictif (Caf, opérateur téléphonique, etc.).
- Le blocage de compte : un SMS ou un e-mail frauduleux vous annonce que votre compte est bloqué (banque, EDF, etc.). Vous êtes invité à cliquer sur le lien pour résoudre l'incident, mais vous transmettez en réalité vos données au pirate car il s'agit d'une copie du site officiel.
- La conservation de compte : un message vous annonce que votre compte va être bloqué en raison de son inutilisation. Vous êtes invité à vous connecter pour l'empêcher, mais il s’agit une nouvelle fois d’une copie du site officiel.
- Le faux colis : un message vous informe du statut d'une prétendue commande ou vous indique que vous devez réaliser une action pour finaliser la livraison. L’objectif est de dérober vos informations, de vous amener à faire un paiement ou d’installer un logiciel malveillant.
Comment reconnaître un e-mail ou un SMS frauduleux ?
Plusieurs indices peuvent vous permettre de reconnaître une tentative de phishing et ainsi de déceler une arnaque par e-mail ou par SMS.
- L'expéditeur est inconnu et/ou l'adresse d'expédition est suspecte.
- L’objet du message est inhabituel : vous êtes invité à communiquer vos données personnelles (carte bancaire, mots de passe, etc.), à consulter un lien falsifié et/ou à télécharger une pièce-jointe, cette dernière pouvant contenir un virus.
- Le message comporte des fautes, des erreurs ou encore des expressions inappropriées.
- Le message est alarmiste : vous êtes invité à y répondre dans les plus brefs délais sous peine d’être sanctionné et/ou de perdre un avantage fictif.
- L’URL du lien dans le message est frauduleuse : elle s'inspire d'un site officiel (gouvv.fr par exemple) ou est étrange.
Tentative de phishing : comment bien réagir ?
Ne pas répondre à la sollicitation des escrocs
Si vous pensez que le message pourrait être une tentative d’hameçonnage, vous ne devez pas répondre au message, ne pas cliquer sur les liens, ni ouvrir les pièces jointes. En cas de doute, vous pouvez contacter l'émetteur prétendu du message par un autre canal : appeler votre banque ou contacter votre opérateur téléphonique via votre espace personnel par exemple. Cela vous permettra ainsi de savoir si le message est frauduleux ou non.
De plus, vous ne devez jamais communiquer d’informations personnelles suite à une telle sollicitation : aucune entreprise sérieuse ou administration ne vous le demandera.
Signaler la tentative d’hameçonnage aux autorités
Dans l’idéal, vous devez réaliser un signalement du SMS ou de l’e-mail frauduleux afin de protéger les autres consommateurs. Selon la nature de la tentative de phishing, vous disposez de plusieurs moyens pour le faire.
- Signaler un e-mail sur signal-spam.fr.
- Signaler ou vérifier un site Internet frauduleux sur phishing-initiative.eu.
- Appeler Info Escroqueries au 0 805 805 817 pour être conseillé.
- Conserver les preuves, dont les SMS et e-mails frauduleux.
Renforcer votre protection
Vous pouvez adopter certains réflexes pour renforcer votre protection numérique et limiter le risque de phishing.
- Utiliser un filtre anti-courriel : cette fonctionnalité de votre boîte e-mail détecte automatiquement les messages indésirables. Vous êtes donc moins susceptibles d'y être confronté et de les ouvrir.
- Changer vos mots de passe : tâchez d'utiliser un mot de passe complexe et unique pour chaque site Internet et application que vous utilisez. Vous pouvez d'ailleurs utiliser un coffre-fort numérique, pour enregistrer de manière sécurisée vos identifiants.
- Activer la double authentification : lorsque vous souhaitez vous connecter à un site Internet ou à une application, vous devez fournir vos identifiants. Une confirmation est ensuite envoyée par un autre canal (SMS, e-mail, etc.) pour vérifier que vous êtes bien l'auteur de la demande.
Victime d’un hameçonnage : que faire ?
Si vous pensez avoir été victime d’un hameçonnage, vous devez réagir le plus rapidement possible afin d’en limiter les conséquences.
- Bloquer votre carte bancaire et vos autres moyens de paiement (PayPal, Lydia, etc.) si vous pensez avoir communiqué des informations de paiement et/ou si vous avez constaté des débits frauduleux.
- Modifier vos identifiants de connexion et créer des mots de passe uniques pour chacun de vos comptes.
- Contacter votre interlocuteur officiel (banque, assurance, opérateur téléphonique, etc.) pour l’informer que vous avez été victime d’une escroquerie utilisant son identité.
- Porter plainte en présentant les éléments de preuve (message d'hameçonnage, copie de votre relevé bancaire, etc.).
- Signaler le SMS ou l’e-mail frauduleux à Signal Spam, Phishing Initiative, Info Escroqueries et/ou au 33 700.
Problème de consommation, utilisation frauduleuse de votre carte bleue, ou autre litige de la vie quotidienne : il peut être bien utile d’avoir une Assurance Protection Juridique pour vous protéger.
La solution MMA vous épaule(3) pour :
- Vous informer et répondre à vos questions relatives au droit français, même en l’absence de litige.
- Négocier pour vous la meilleure solution amiable.
- Faire valoir vos droits devant les tribunaux et financer les procédures jusqu’à 40 000 € par litige(4).
- Veiller à la bonne application des décisions, accords amiables après jugements (exécution et suivi).
(1) Cybermalveillance.gouv.fr publie son état de la menace 2023 et dévoile les trois tendances fortes de l’année - Cybermalveillance.gouv.fr - 2024
(2)Top 10 des cybermenaces les plus fréquentes pour les particuliers - Cybermalveillance.gouv.fr – 2024
(3) Nos prises en charge sont faites en application des garanties/options souscrites et dans les conditions, limites et exclusions de garantie fixées aux conditions générales du contrat Protection Juridique MMA. Le produit PJ MMA du particulier (CG PJ 400f) est assuré et géré par Covea PJ.
(4) Jusqu’à 40 000 € par litige porté devant une juridiction française et jusqu’à 20 000 € par litige porté devant une juridiction étrangère.
Autres sources de rédaction
Kit de sensibilisation aux risques numériques - Cybermalveillance.gouv.fr - 2023
Cybercriminalité - Gouvernement – 2023
Cybersécurité : quelles sont les 10 cybermalveillances les plus fréquentes ? - Cybermalveillance.gouv.fr – 2023
Comment se prémunir contre l'hameçonnage ? - Ministère de l'Économie, des Finances et de la Souveraineté industrielle et économique - 2023
Guide de prévention contre les arnaques - Task force nationale de lutte contre les arnaques – 2022
Que faire en cas de phishing ou hameçonnage ? - Cybermalveillance.gouv.fr – 2020
À lire aussi
-
France Identité : identité numérique et permis de conduire dématérialisé
Découvrez comment créer votre identité numérique et votre permis de conduire dématérialisé via l’application France Identité.
-
Acheter ses cadeaux de Noël sur Internet : conseils et précautions
Découvrez nos conseils pour acheter vos cadeaux de Noël sur Internet en toute sécurité en 2023 et faire valoir vos droits en cas de litige.
-
Made in France : nos conseils pour reconnaître un produit français
Qu’est-ce que le Made in France ? Comment reconnaître un produit français ? Quelles différences avec Fabriqué en France et Origine France Garantie…