Phishing : comment ça marche et comment vous protéger

Le phishing, ou hameçonnage, est une technique de fraude visant à récupérer des données personnelles et/ou bancaires d’un internaute en se faisant passer pour un tiers de confiance. Ce type d’arnaque très répandu sur Internet peut avoir lieu sous différentes formes : e-mail, appel, SMS, ou encore message sur les réseaux sociaux.

Le but du phishing est de soutirer des données sensibles ou de l’argent à la victime, qu’il s’agisse d’une personne ou d’une société. Pour y parvenir, les cybercriminels élaborent de faux messages vous incitant à cliquer sur un lien ou à communiquer vos informations personnelles, telles que votre mot de passe ou vos coordonnées bancaires, par exemple.

Le message ou l’appel en question semble provenir d’une personne ou d’un organisme que vous connaissez : un proche, une banque, un service administratif, etc. Ces attaques étant souvent bien réalisées, les utilisateurs « mordent à l’hameçon » et cliquent sur le lien fourni sans hésiter.

La forme d’hameçonnage la plus répandue est l’hameçonnage de masse, méthode par laquelle des attaques non ciblées sont lancées par les fraudeurs. Dans ce cas, pas besoin d’une collecte d’informations préalable par le cybercriminel : il suffit d’un message générique suffisamment crédible, ressemblant à celui pouvant provenir d’une entité connue, et le tour est joué.

Le phishing a connu une recrudescence considérable ces dernières années. On estime que 32% des failles de sécurité impliquent aujourd’hui le phishing, et 75% des organisations ont signalé une attaque d’hameçonnage en 2020. L’efficacité et la dangerosité du phishing résident dans le fait que ces attaques n’exploitent pas une faille technique du système, mais bien l’esprit humain.

Exemple : vous recevez un e-mail de votre banque vous demandant de changer votre mot de passe pour renforcer la sécurité de votre compte. L’e-mail semble parfaitement légitime et vous invite à cliquer sur un lien pour procéder au changement. Qui y réfléchirait à deux fois avant de cliquer ?

En outre, certaines attaques sont particulièrement sophistiquées et utilisent des informations précises à votre sujet pour rendre l’intervention crédible. Les cybercriminels parviennent également à réaliser des interfaces web toujours plus réalistes et imitant parfaitement des sites Internet légitimes.

Tomber dans le piège d’une attaque par phishing ne tient qu’à un clic, et pourtant, les conséquences peuvent être désastreuses :

• Perte financière,
• Usurpation d’identité,
• Perte ou fuite de données,
• Préjudice à la réputation.

Afin de reconnaître une arnaque Internet et d’éviter de devenir une victime de phishing, quelques règles élémentaires de bon sens et de sécurité sont suffisantes. Il convient de manière générale de se demander si le message reçu est plausible. Voici quelques indices pouvant vous mettre la puce à l’oreille pour démasquer une tentative d’hameçonnage :

• Une offre trop alléchante devrait vous alerter immédiatement. Par exemple, si vous recevez un message vous annonçant que vous venez de gagner une belle somme d’argent en remportant un concours, celui-ci est très rarement légitime… Surtout si vous n’avez jamais joué. Restez donc méfiant vis-à-vis de ce type de message, et dans l’idéal, ne l’ouvrez même pas.
• Le message provient d’une personne que vous connaissez, mais à qui vous ne parlez pas, ou alors le contenu du message n’a rien à faire avec vos obligations professionnelles habituelles.
• Le contenu du message tente de vous faire peur ou vous incite à agir urgemment, par exemple en vous informant d’une connexion suspecte, ou en vous incitant à cliquer sur un lien avant que votre compte ne soit clôturé. La peur et le sentiment d’urgence sont très souvent utilisés pour biaiser le jugement des internautes et les amener à passer à l’action.
• Le message contient des pièces jointes : les entreprises en envoient rarement avec leurs newsletters. Il se peut donc que ces dernières contiennent en fait des logiciels malveillants.
• Un lien hypertexte est intégré au message alors qu’il n’est pas spécialement attendu. Une bonne astuce est donc de toujours vérifier l’URL en survolant le lien avant de cliquer dessus. Dans le cas d’un site web sur lequel vous avez l’habitude d’aller, il est préférable d’entrer l’URL manuellement dans votre navigateur.
• Enfin, la présence de fautes d’orthographe, un logo de mauvaise qualité ou une façon étrange de s’exprimer sont autant de signes qui doivent vous alerter sur la fiabilité d’un message.

Il existe de nombreuses formes d’attaques par hameçonnage. Voici un tour d’horizon des techniques principales.

Les attaques par e-mail représentent la forme la plus courante de phishing. Ce sont aussi celles qui démontrent la plus grande efficacité. Le phishing par e-mail se présente sous différentes formes, selon la personne ciblée et les techniques utilisées :

Spear phishing, ou harponnage

La technique du harponnage, ou spear phishing en anglais, consiste en une attaque adaptée et ciblée sur une seule personne ou entreprise. Le pirate effectue des recherches sur sa cible au préalable, de sorte que le contenu est adapté à sa victime, ce qui rend la tentative de fraude plus plausible. Ce type d’attaque s’est particulièrement développé au sein de réseaux professionnels tels que LinkedIn.

Le fraudeur utilise de nombreuses ressources pour obtenir des informations personnelles telles que le numéro de téléphone de la victime, son adresse ou même son numéro de sécurité sociale, voire pour connaître le fonctionnement interne d’une entreprise.

Grâce aux informations recueillies, le pirate peut aisément se faire passer pour une personne digne de confiance (ancien collègue, représentant d’un service fréquemment utilisé par la victime, etc.). De cette manière, par le biais d’e-mails qui semblent légitimes, ils réussissent à obtenir des informations confidentielles ou même des transferts d’argent.

Whaling, ou fraude au PDG

Le whaling est une forme de spear phishing plus poussée. Le principe est ici de cibler les « gros poissons », c’est-à-dire les personnes les plus haut placées au sein d’une société. Le but du whaling est donc de tromper une personne occupant une place suffisamment importante pour la convaincre de fournir des informations confidentielles sur l’entreprise, ou encore des données personnelles. Le pirate pourra ensuite se faire passer pour cette personne de haut rang (directeur général, actionnaire principal, etc.) afin que les employés soient plus enclins à répondre à ses demandes. Cette technique demande plus d’efforts de la part de l’attaquant, mais offre potentiellement des gains beaucoup plus importants.

Clone phishing

Le clonage, ou clone phishing en anglais, nécessite une étroite surveillance de la boîte mail de la victime par son malfaiteur. L’hameçonneur réalise une copie d’un e-mail reçu récemment avec une pièce jointe ou un lien. Ces derniers sont en réalité modifiés de sorte à contenir un malware ou à renvoyer vers un site frauduleux. Ainsi, le hacker peut contrôler le système de l’utilisateur et imiter son identité sans éveiller les soupçons d’autres victimes.

Ce type de phishing permet par exemple au pirate d’envoyer des factures qu’il aura préalablement modifiées à des destinataires habituels de la victime, qui ne feront pas attention au fait que l’adresse mail de l’expéditeur a été légèrement modifiée. Le montant de la facture sera ainsi directement envoyé au hacker.

Le vishing (pour voice phishing) est une forme d’hameçonnage menée par téléphone. Cette technique consiste à appeler une victime potentielle en se faisant passer pour le service client d’une entreprise, voire pour une organisation officielle telle que les impôts ou la police. L’escroc lui annonce alors que la sécurité de son compte a été compromise, que des tentatives d’utilisation frauduleuse de sa carte bancaire ont été relevées, ou encore qu’elle a oublié de payer une amende. Dans ce cas, le hacker joue sur la peur pour inciter la victime à communiquer immédiatement ses informations bancaires ou toute autre donnée sensible.

Le contact direct avec l’interlocuteur crée un sentiment d’urgence et fausse le jugement de la victime, qui n’a pas le temps de prendre du recul sur la situation. De plus, il est très souvent demandé que le paiement s’effectue par virement bancaire ou par le moyen d’une carte prépayée. Il est ainsi impossible de remonter jusqu’au hameçonneur.

Le smishing est une forme d’hameçonnage réalisée par SMS. Nombreuses sont les attaques visant à faire cliquer le destinataire sur un lien douteux ou à télécharger une application sur son téléphone. Les prétextes utilisés sont très variés : offre exceptionnelle, perte de l’accès à son compte, colis à récupérer…

Le social phishing, aussi appelé angler phishing, consiste pour l’attaquant à se faire passer pour le représentant d’un service client afin de convaincre sa victime de divulguer des informations personnelles. Sous prétexte d’une alerte de sécurité ou d’un incident technique, l’escroc prétend aider sa cible à reprendre le contrôle sur son compte et joue de la confiance qui règne avec le client pour lui soutirer ces informations précieuses.

Cette forme plus particulière de phishing consiste à insérer des liens malveillants dans les invitations des applications d’agenda telles que Calendly. Ces liens mènent ensuite les victimes vers un site frauduleux dans le but de récupérer leurs identifiants.

Certaines tentatives d’hameçonnage reviennent très souvent, utilisant des prétextes crédibles et redoutablement efficaces. Par exemple :

• Activité suspecte sur le compte bancaire : une victime potentielle reçoit un message de la part d’une banque lui indiquant une activité suspecte sur son compte, accompagné d’un lien l’invitant à se connecter. Dans la grande majorité des cas, la victime ne dispose pas de compte auprès de l’organisme bancaire qui la contacte.
• Confirmation de vos informations de carte bancaire : lorsqu’un hacker sait que vous avez effectué un paiement en ligne, il vous envoie un e-mail déguisé du marchand chez qui vous venez d’effectuer votre achat. Dans ce message, il vous est demandé de confirmer vos données de carte de crédit, car elles ont peut-être été compromises. Le tour est joué : sans vous en rendre compte, vous avez envoyé vos informations bancaires à un cybercriminel. Ces techniques d’ingénierie sociale sont fréquemment observées dans des e-mails de phishing se faisant passer pour les services d’Apple, Amazon ou encore Netflix.
• Désactivation du compte Paypal : cette escroquerie a lieu par le biais d’un e-mail prétendument envoyé par Paypal et vous indiquant que votre compte sera désactivé jusqu’à ce que vous confirmiez vos détails bancaires. Le lien sur lequel vous êtes invité à cliquer vous emmène en réalité sur un faux site Paypal où vos coordonnées bancaires sont volées.
• Appel à l’aide d’un proche : la victime reçoit un message censé provenir d’un proche ou d’une connaissance, expliquant par exemple qu’elle est coincée à l’étranger et demandant une aide financière urgente. Ces attaques sont souvent perpétrées à l’encontre des personnes âgées et jouent sur les émotions pour obtenir un transfert d’argent.
• Message du gouvernement : les hackers se font passer pour des institutions gouvernementales et tirent profit de leur autorité en adoptant un ton menaçant, de manière à faire agir le destinataire rapidement.

Face aux tentatives d’hameçonnage qui cherchent à jouer sur vos émotions et vous poussent à agir rapidement, la première règle d’or est de garder votre sang-froid. Prenez toujours le temps de réfléchir, que vous receviez un message menaçant de clôturer votre compte ou un appel vous sommant de confirmer vos coordonnées bancaires.

Voici la marche à suivre pour réagir en cas d’arnaque par phishing, et quelques conseils pour s’en prémunir.

Vous avez cliqué sur un lien douteux et vous pensez vous être fait arnaquer sur un site web ? Pas de panique, nous vous expliquons comment faire pour limiter les dégâts et empêcher que cela ne se reproduise.

• Faites immédiatement opposition sur vos moyens de paiement auprès de votre organisme bancaire si vous avez remarqué des débits frauduleux ou si vous avez communiqué vos coordonnées bancaires après avoir cliqué sur un lien de phishing.
• Si vous êtes victime de phishing ou si vous pensez avoir cliqué sur un lien douteux, changez immédiatement vos mots de passe.
• Effectuez un signalement de tout mail frauduleux auprès de Signal Spam. Associé à la CNIL, ces deux entités œuvrent pour identifier et signaler les émetteurs de spams.
• Contactez Phishing Initiative pour signaler un site frauduleux. Grâce à ce signalement, Phishing Initiative aura les moyens d’effectuer un blocage du site malveillant en question et demander à ce qu’il soit supprimé.
• Si vous êtes victime d’une arnaque sur Internet, conservez les preuves, en particulier le mail de phishing ainsi que le site frauduleux que vous avez signalé.
• Dans le cas où des données susceptibles de servir à usurper votre identité pourraient être entre de mauvaises mains, ou en cas de débit frauduleux sur votre compte, n’hésitez pas à déposer plainte à la gendarmerie ou au commissariat.
• Pour recevoir des conseils en cas de phishing, vous pouvez également appeler le numéro gratuit 08 11 02 02 17.

Les arnaques par phishing sont heureusement évitables, et en suivant quelques règles et conseils, vous pourrez minimiser les risques d’être victime d’une tentative d’hameçonnage.

• Utilisez un filtre anti-spam. Ce filtre est fait pour limiter l’arrivée des spams dans votre boîte de réception : il permet ainsi de filtrer un bon nombre de potentielles attaques par mail. La plupart des boîtes mail en intègrent automatiquement.
• Ne communiquez jamais d’informations sensibles par téléphone ou par e-mail. Aucun organisme sérieux ne vous demandera de transmettre votre mot de passe ou vos coordonnées bancaires.
• Vérifiez bien l’adresse d’un lien en le survolant avant de cliquer dessus. Un seul caractère manquant ou différent dans l’URL peut indiquer un site frauduleux.
• Si vous recevez un message ou un appel censé provenir d’un organisme officiel, contactez directement celui-ci pour vous assurer de sa fiabilité.
• Utilisez des mots de passe complexes et uniques pour chacun des services que vous utilisez. En cas de vol de l’un de vos mots de passe, cette règle essentielle évitera le piratage de vos autres comptes.
• Lorsque c’est possible, utilisez l’authentification multifacteur (MFA) pour renforcer la sécurité de l’accès à vos comptes.
• Vérifier les dates et heures de dernière connexion à vos comptes pour repérer les potentiels accès suspects.
• Évitez de cliquer sur les fenêtres pop-ups lorsque vous naviguez sur le web. Ces publicités se révèlent fréquemment être des tentatives de phishing.
• Utilisez un VPN doté d’une Protection Anti-menaces Pro : cette fonction bloquera automatiquement l’accès aux sites web malveillants, l’apparition de publicités intrusives et le téléchargement accidentel de malwares.

Protégez-vous contre les cyberattaques : munissez-vous d’un VPN de qualité.