Le phishing est une méthode de cybercriminalité dont le but est d’obtenir les informations personnelles d’un individu en vue d’en faire une utilisation illicite. Pour y parvenir, les auteurs utilisent différentes techniques. Pour éviter de vous retrouver dans cette situation, voici quelques informations qui vous seront d’une grande utilité.
Phishing : qu’est-ce que c’est ?
Encore appelé hameçonnage, le phishing est une fraude assez récurrente sur Internet. L’objectif de cette arnaque est de collecter les informations personnelles des victimes à travers des techniques d’ingénierie sociales. Il peut s’agir d’un identifiant et d’un mot de passe, mais aussi d’une information bancaire. Le Phishing se caractérise généralement par trois éléments.
- Tout d’abord, il est perpétré par voie électronique.
- Le fraudeur se fait passer pour une personne de confiance ou un organisme sérieux.
- Son but est d’arriver à soutirer des informations confidentielles comme les numéros de vos cartes bancaires ou les identifiants que vous utilisez pour vous connecter.
Ainsi, dès que ces trois conditions sont remplies, il s’agit bel et bien du phishing. Cependant, quel est son mode de fonctionnement ?
Fonctionnement du phishing
Le phishing peut être effectué à travers des appels, des SMS, des messages sur les réseaux sociaux ou encore par email. Généralement, il s’agit d’un email provenant prétendument de votre banque ou d’un organisme reconnu vous incitant à procéder à une mise à jour de vos informations bancaires ou de vos identifiants de connexion. Un lien est souvent accompagné du message pour vous rediriger vers une page qui au premier abord semble sécuriser.
Ensuite, vos informations confidentielles vous sont alors demandées et ainsi obtenues par les pirates. Ces derniers peuvent s’en servir à leur guise et même les revendre aux plus offrants. Le phishing peut également se produire par un simple clic sur l’icône de téléchargement d’une pièce jointe ou par l’exécution d’un prétendu achat.
Par ailleurs, le succès qu’ont connu les réseaux sociaux n’a fait que renforcer cette pratique qui est devenue monnaie courante. Les hameçonneurs ont à leurs dispositions beaucoup plus de potentielles victimes et ne cessent de trouver de nouvelles astuces pour arriver à leur fin. Des dizaines d’attaques sont au quotidien perpétrées d’où la nécessité de prendre ses précautions et de rester sur ses gardes.
Comment les pirates contournent-ils l’authentification double facteur ?
Afin de se protéger contre les tentatives de phishing, de nombreux opérateurs installent un processus d’authentification double facteur. Cela consiste à confirmer ses informations par un deuxième code envoyé par SMS ou par l’application mobile Google Authenticator. Malheureusement, de nombreux pirates s’adaptent à ces mesures de sécurité et parviennent à les déjouer.
Pour ce faire, ces derniers procèdent à la mise en place de faux sites Google avant d’exhorter leurs cibles à s’y connecter. Plusieurs techniques de phishing sont utilisées dans ce but. Un mail peut être envoyé pour annoncer une supposée tentative de connexion sur un compte personnel vous appartenant. Vous êtes alors invité à changer au plus vite votre mot de passe en cliquant sur un lien.
D’un autre côté, un lien redirigeant vers un document Google drive peut également être envoyé aux victimes. Une sollicitation à une interview avec une presse ou une demande de participation à un projet prometteur sera proposée pour avoir l’intérêt des victimes. Pour renforcer leur crédibilité, les pirates se chargent au préalable de prendre contact avec les cibles par des appels téléphoniques.
Ceux qui tombent dans le piège et cliquent sur le lien sont renvoyés vers un faux site Google où ils doivent se connecter. Dès que le mot de passe est entré sur ce site, le piratage l’intercepte dans l’instant et s’en sert pour avoir accès au compte réel de la victime. Le deuxième code est aussitôt envoyé à ce dernier qui en l’introduisant sur le faux compte en donne accès au fraudeur. Celui-ci l’utilise pour se connecter au vrai compte et le tout est joué.
Les conséquences des attaques de phishing peuvent être assez désastreuses. Il est tout de même possible de pouvoir les éviter si l’on reste sur ses gardes.
Les conséquences du phishing
L’usurpation d’identité ou le vol d’argent sont les principales conséquences du phishing. Même si ces attaques visent généralement des particuliers, elles peuvent également être dirigées contre des entreprises. L’espionnage ou le vol de données confidentielles sont dans ce cas les principales motivations.
Dans d’autres situations, les fraudeurs procèdent à la création de faux comptes sur les réseaux sociaux. Ils établissent des contacts avec leurs futures victimes avant de développer des liens avec ces derniers au bout d’un certain temps. Une fois leurs confiances acquises, ils mettent en marche leur plan pour leur soutirer la plupart du temps, de l‘argent. Pour ces cas, les conséquences ne sont pas uniquement financières, mais aussi psychologiques. Cela provoque une perte de confiance aux autres et désormais une certaine méfiance vis-à-vis de tous.
Comment reconnaître une tentative de phishing ?
L’objectif premier d’un auteur de phishing est d’accéder aux informations confidentielles de ces victimes. Pour y parvenir, il utilise des mails qu’ils envoient à des centaines de destinataires attendant ceux qui mordront à l’hameçon. Ces attaques sont quotidiennes et tout le monde sans exception y est exposé.
De plus, il n’est pas aisé de pouvoir faire la différence entre un mail frauduleux et un mail fiable. Les pirates sont de plus en plus efficaces dans la création des faux sites et dans l’imitation des logos, des typographies, etc. Il est donc facile pour eux d’usurper l’identité d’organismes comme les banques, les services publics ou encore les fournisseurs d’accès internet. Cependant, en étant attentifs, certains signes peuvent vous permettre de repérer ces tentatives de phishing et donc de les amorcer. Il s’agit entre autres des détails suivants.
- L’expéditeur utilise soit un ton trop mielleux, soit un ton menaçant.
- Le message provient d’une personne ou d’une entreprise dont vous n’avez jamais entendu parler auparavant.
- Le message est écrit dans un français approximatif ou contient de nombreuses fautes d’orthographe.
- La proposition qui vous est faite est un peu trop affriolante et peu crédible.
- Des renseignements personnels comme des mots de passe ou un code IBAN vous sont demandés.
- Une somme d’argent vous est demandée pour le règlement de certains frais.
- L’adresse email est assez suspecte.
- Le lien envoyé n’est pas le même que l’adresse.
Aussi, lorsqu’un message de récupération de données ou de vérification d’identifiants vous est envoyé sans que vous en soyez à l’origine, il est important de prendre vos précautions.
Phishing et hameçonnage : comment s’en protéger ?
Les attaques de phishing peuvent avoir de fâcheuses répercussions sur les victimes. Pour s’en protéger, il est essentiel d’adopter certaines habitudes.
Faire preuve de prudence
Pour se protéger contre phishing, la première des choses est de ne jamais répondre à un mail redirigeant vers un quelconque site internet, à moins d’être certain de sa provenance. Dans le cas où le message paraît suspect, il est conseillé de taper L’URL dans une nouvelle fenêtre pour effectuer des vérifications. Évitez de cliquer directement sur des liens qui vous sont envoyés, ou de procéder au téléchargement de fichiers ou de pièces jointes.
L’expéditeur pourrait dans un premier abord paraître fiable, mais il est possible que ce ne soit pas le cas. Aussi, il est important que vous sachiez que les organismes bancaires ne demandent jamais des informations confidentielles par email. Soyez donc prudents si ces genres de messages vous parviennent.
Faites attention aux liens raccourcis
Il est recommandé de ne pas cliquer sur les liens raccourcis, surtout lorsqu’ils sont envoyés via les réseaux sociaux. Lorsqu’un lien suspect vous est envoyé dans un mail, il est conseillé de survoler ce dernier avec la souris pour vous assurer qu’il est pareil à celui auquel l’on sera renvoyé. Vous éviterez de cette manière de vous retrouver sur un site frauduleux où toute information personnelle que vous aurez transcrite sera volée.
Méfiez-vous des emails suspects
Il n’est pas ardu de reconnaître un email utilisé pour faire du phishing. Ils ont la particularité de comporter plusieurs fautes, des mots en majuscules, mais aussi des points d’exclamation. Les messages qu’ils contiennent sont souvent étonnants, un peu trop aguicheurs ou menaçants. Aussi, pour faire réagir leurs victimes, les pirates diffusent souvent des messages d’urgence. Dans cette situation, évitez de paniquer et commencez par prendre contact avec la société en question par un moyen reconnu et fiable.
Pensez à sécuriser votre navigation web
Pour éviter les pièges des pirates informatiques, il est important de s’assurer que l’adresse sur laquelle on se connecte est sécurisée. Cela l’est d’autant plus lorsque des informations personnelles doivent être transmises. Évitez de vous servir d’un wifi public qui n’est pas sécurisé lorsqu’une opération bancaire doit être effectuée.
Comment signaler une tentative d’hameçonnage à Orange ?
Lorsque vous suspectez une tentative de phishing, vous avez la possibilité de le signaler au service Orange. Pour ce faire, il faut tout d’abord sélectionner le mail en question pour le transférer en cliquant sur le bouton prévu à cet effet. Le message ne doit pas être transmis en pièce jointe faute de quoi, il ne serait pas reçu. Renseignez ensuite la cellule concernant l’adresse du destinataire qui est Orange. Leur email pour ce signalement est abuse@orange.fr. Cliquez enfin sur la touche « envoyer ».
Une fois le signalement effectué, orange se chargera d’analyser le message et de prendre des mesures si nécessaires.