On ne se rend pas compte du nombre de données confidentielles que l’on communique lorsque l’on est connecté à internet. Donc, il est donc primordial et parfois obligatoire de sécuriser l’ensemble de ses données. En particulier dans le but d‘en réduire les risques d’utilisation malveillante et ainsi augmenter votre cybersécurité.
Dans cet article nous allons nous concentrer sur la cybermenace appelée le Hameçonnage, ou Phishing en anglais.
Cybersécurité : qu’est-ce que le phishing ?
Lorsqu’on parle de vol de données, il s’agit ici de ce qu’on appelle du phishing. Le terme phishing correspond à la contraction des mots anglais fishing, qui signifie pêche et phreaking, qui veut dire piratage de ligne téléphonique.
En français, on parle d’hameçonnage.
Il s’agit d’une technique de piratage destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles ou bancaires en se faisant passer pour un tiers de confiance.
Mais on parle de spear phishing quand il est personnalisé pour une personne ou une entreprise ciblée.
Globalement le courrier électronique reste le canal de distribution préféré des pirates. 94% des malware sont envoyés par e-mails. Mais il peut aussi s’agir d’un sms ou d’un appel téléphonique.
L’objectif de l’attaquant est simple : tromper le destinataire en lui faisant croire qu’il reçoit un message important, comme celui de sa banque ou de sa société.
Les informations subtilisées peuvent être :
- des mots de passe
- des cartes de crédit
- des cartes d’identité
- des permis de conduire
- des données personnelles
Ensuite, les hackers revendent ou utilisent les informations pour effectuer des usurpations d’identité.
comment reconnaître le phishing ?
Aujourd’hui les tentatives d’hameçonnage sont de mieux en mieux réalisées. Mais un mail de phishing présente souvent des signes d’alerte qu’il est possible de déceler.
Voici les différents éléments qui doivent éveiller votre méfiance.
-
Demande de mise à jour ou de confirmation de données personnelles : identifiants, mot de passe, coordonnées bancaires par un prétendu organisme public ou commercial de confiance, sous peine de sanction.
-
Défaut de paiement ou problème de facturation : un faux mail vous informe qu’un bien ne peut être expédié en raison d’un problème de facturation ou que vous devez régler un impayé.
-
Demande d’informations : pour un remboursement, une annulation de commande, une livraison etc.
-
Demande d’informations : contre l’envoi d’un cadeau ou pour participer à un jeu concours ou encore pour récupérer le gain d’une loterie.
-
Demande de règlement : pour éviter la fermeture d’un accès, la perte d’un nom de domaine ou une prétendue mise en conformité RGPD.
-
Appels au don frauduleux.
-
Appel à l’aide : le cybercriminel se fait passer pour un proche expliquant qu’il se trouve dans une situation désastreuse qui requiert votre aide financière.
-
Les chaînes d’e-mails : type porte bonheur, pyramide financière, appel à solidarité ou alerte virale.
L’usurpation d’identité étant la base de l’hameçonnage, les cybercriminels n’hésitent pas à se faire passer pour des organismes connus de tous lorsqu’ils adressent un mail frauduleux.
Toutes les administrations suivantes sont très sujettes à l’usurpation :
- les impôts ;
- la sécurité sociale ou la CAF ;
- les banques
- les fournisseurs d’énergie ;
- les opérateurs télécom ;
- les réseaux sociaux ;
- les services de messagerie et de stockage en ligne ;
- les sites de commerce en ligne ;
- les sociétés de livraison ;
- les systèmes de paiement en ligne.
MAis comment réagir en cas de phishing ?
Plus de 80% des événements de cybersécurité impliquent des attaques de phishing, il est donc important de s’en protéger.
Le phishing est sournois. C’est pour cela que nous allons essayer de comprendre ce qu’il se passe afin d’agir rapidement.
Rappelons-le, le hameçonnage, dit phishing, consiste à récupérer vos informations personnelles ou une somme d’argent à travers l’envoi de sms ou de mails bien ficelés.
Pour contourner cette tentative de vol, il suffit de retenir deux règles :
- au moindre doute, n’ouvrez pas les mails et sms douteux.
- ne cliquez jamais sur les liens présents dans ces messages. Jamais.
Cybersécurité les étapes à suivre en cas de Phishing
Mais dans les faits, c’est un peu plus compliqué. Car il arrive que nous cliquions tout de même sur ces liens frauduleux.
Contacter la structure
Lorsque cela arrive, il faut très vite changer vos mots de passe. Ensuite, contactez, par différents moyens sécurisés, la structure qui s’est faite subtiliser son nom pour savoir s’il s’agit d’une opération de leur propre chef ou s’il s’agit d’une arnaque.
Si on vous répond “Non, nous n’avons rien envoyé de la sorte”, et bien malheureusement le phishing est avéré.
Mais sachez qu’il n’est pas indispensable de contacter le service concerné de vive voix. Vous pouvez faire vos démarches depuis des sites certifiés, tels que les sites officiels de suivis de colis pour tracer une livraison par exemple.
Le plus important ici, c’est d’aller chercher l’information par un autre canal que le lien ou le numéro présent dans le message frauduleux.
Faire opposition
Si toutefois vous avez cliqué sur le lien et que vous avez donné vos coordonnées bancaires ou réalisé un virement, contactez votre banque et faites opposition le plus vite possible.
Puis, continuez la procédure en changeant tous vos mots de passe, en commençant, évidemment, par le service contaminé.
Surtout, si vous avez tendance à utiliser un même mot de passe sur l’ensemble de vos sites favoris, pensez à les changer également.
Monter un dossier
Ensuite, quand ces quelques précautions prises, rassemblez les preuves du phishing ou de la tentative de phishing et rapprochez-vous de services sécurisés tels que france-victimes.fr, signal-spam.fr, ou encore phishing-initiative.eu
Nous ne l’avons pas mentionné plus tôt, mais bien sûr, si le phishing a été opérationnel et que vous avez cédé à la manipulation, déposez plainte auprès des autorités locales et compétentes.
Pour résumer, le phishing est très intelligent. Il n’est pas forcément le plus agressif en termes de dommages collatéraux mais il est très bien fait. En général, il survient au moment où l’on s’y attend le moins. Il peut s’agir d’un faux mail, d’un sms, bref le phishing est discret mais très lucratif pour les hackers. Avertissez votre entourage de cette pratique car elle est bien plus répandue qu’on ne le pense.
Si tout le monde adopte les bons réflexes de cybersécurité, alors le nombre de victimes dues au phishing baissera considérablement. Car après tout, mieux vaut prévenir que guérir.
Nous vous donnons rendez-vous très vite pour le prochain article de cette série. En attendant,vous pouvez retrouvez toute notre collection sur la Cybersécurité ici !