Également appelé hameçonnage, le phishing est LA nouvelle technique des cyber-escrocs pour obtenir vos informations personnelles comme vos mots de passe, numéro de sécurité sociale, coordonnées bancaires, etc…

Vous avez certainement déjà reçu des mails frauduleux, vous annonçant avoir gagné l’ I-phone 11 ou un voyage aux Maldives ? Si certaines de ces techniques vous paraissent facilement identifiables, d’autres méthodes sont malheureusement beaucoup plus sournoises…

phsishing

Le mode opératoire 

Par mail, les fraudeurs se font passer pour un organisme connu (sécurité sociale, banque, service des impôts, CAF etc…), en vous demandant, par exemple, d’actualiser vos informations personnelles suite à un incident technique. Vous êtes alors redirigés vers un site web frauduleux, où l’on vous pousse à mettre à jour vos renseignements personnels.

Mais attention ! votre boîte mail n’est pas la seule à être concernée. Les cybercriminels utilisent également tous les autres moyens de communication : SMS, appels, réseaux sociaux ou encore messagerie instantanée…

Différentes techniques d’attaques

Les tentatives les plus simples consistent à envoyer un même message à des milliers d’adresses mails. Les fraudeurs espèrent que parmi ces internautes, un petit pourcentage sera pris dans les mailles du filet.

Lorsqu’ils disposent de plus d’informations, les fraudeurs peuvent aller même jusqu’à personnaliser leur mail. Ils l’enverront à un groupe de personnes plus réduit mais auront un plus grand taux de réussite.

Pour propager leur escroquerie, les fraudeurs essaient d’identifier les personnes les plus crédules, mais aussi les personnes à hautes responsabilités (chef d’entreprise, responsable des ressources humaines, etc…). Leurs salariés seront ensuite plus susceptibles de cliquer sur les liens envoyés par la hiérarchie.

Certaines campagnes d’hameçonnage sont très développées et s’appuient sur des sites web contrefaits. Le lien contenu dans le mail redirige souvent vers une landing page ressemblant à une interface de connexion à un réseau social ou à une boîte mail, vous invitant à vous identifier à nouveau.

Par ailleurs, les cybercriminels peuvent vous pousser à installer des « malwares ». Ce sont des logiciels malveillants. Le phishing n’est alors que la première étape de l’escroquerie. Ses conséquences seront d’autant plus importantes et peuvent aller jusqu’au vol de l’ensemble des données de votre ordinateur ou du réseau informatique de votre entreprise.

De lourdes conséquences

Si l’on vous a volé vos informations personnelles (numéro de carte d’identité, de passeport, de carte vitale, etc…), vous risquez de vous faire usurper votre identité. Les fraudeurs peuvent vendre vos données sur le marché noir, créer de faux papiers, ou vous faire accuser d’un délit que vous n’aurez pas commis.

Si les malfaiteurs s’emparent des identifiants et mots de passe de vos comptes mails ou d’applications, ils peuvent s’en servir pour renforcer leur campagne de phishing et toucher encore plus de personnes. Ils auront aussi la possibilité de réinitialiser les mots de passe de vos comptes les moins protégés, afin d’en prendre le contrôle et de surveiller votre activité pour extraire des données sensibles. Si vos coordonnées bancaires sont liées au compte mail piraté, ils pourront alors accéder à votre compte bancaire.

Enfin, si vos informations bancaires ont été dérobées (numéro de carte, code de sécurité à trois chiffres, identifiant et mot de passe de votre compte bancaire en ligne), les cybercriminels pourront effectuer des achats en ligne ou des virements depuis votre compte. Réagissez-vite !

mail

Identifier… et signaler !

Votre messagerie électronique filtre déjà une partie de ces tentatives  (en les envoyant dans les spams) et les navigateurs vous préviennent lorsqu’un site leur semble suspect.

N’hésitez pas à signaler une tentative de phishing sur www.internet-signalement.gouv.fr

Si vous êtes victime d’une attaque, vous pouvez consulter la plateforme www.cybermalveillance.gouv.fr

cybersecurite

Sources : CNILAvast. Mailjet.