Phishing : ne mordez pas à l'hameçon
Qu’est-ce que le phishing ?
Le phishing est une forme de cybercriminalité dans laquelle la victime (potentielle) est approchée par e-mail, sms, messagerie instantanée, médias sociaux ou téléphone. L’escroc se fait passer pour quelqu’un d’autre. Il peut s’agir de votre banque, fournisseur d’énergie ou d’une société de technologie, mais aussi d’un ami ou d’un membre de la famille.
Le but est de "pêcher" ("phishing" en anglais) des données sensibles, comme des informations personnelles, des mots de passe, des données de carte bancaire ou de crédit. Une fois qu’il s’est emparé de ces données, l’escroc a les coudées franches : il peut par exemple accéder aux principaux comptes de la victime et ainsi dérober son argent ou usurper son identité.
Différentes formes
Différents moyens sont mis en œuvre pour obtenir ces informations. Les e-mails sont encore et toujours les plus utilisés, mais il y en a d’autres. Il n'est pas rare que les escrocs réagissent à l'actualité, comme la crise du coronavirus.
Vers le haut de la pagePhishing via e-mail
Il existe plusieurs variantes du mail de phishing : un avertissement relatif à votre compte, votre banque qui vous demande de confirmer vos données... L’émetteur semble fiable, mais il a l’intention de dérober vos données financières ou personnelles qu’il vous invite à compléter sur une page web contrefaite, ou il souhaite infecter votre appareil avec un malware en vous invitant à ouvrir une pièce jointe.
Ci-dessous, un exemple de mail de phishing émanant prétendument d’Apple. Soyez attentif à l’adresse e-mail : support@rjmamasatim02-team.freshdesk.com. Elle ressemble à tout sauf à une adresse Apple officielle. Si on fait glisser la flèche de la souris sur le lien ("verify your identity"), on voit apparaître la véritable URL : il s’agit d’un lien raccourci (https://t.co/dzjF8OKRbN) ne menant pas vers le véritable site Apple.
Phishing via sms, WhatsApp of Facebook Messenger
Les SMS ou les applis de messagerie instantanée sont utilisés pour le "smishing" : vous recevez un sms, un message WhatsApp ou Facebook Messenger contenant une mise en garde (p.ex. "C’est toi dans cette vidéo ?" ou "Payez maintenant ou votre compte sera bloqué") ou une offre (p.ex. "Remportez un bon chez Lidl"), qui vous demande de cliquer sur un lien ou de composer un numéro de téléphone. Le lien installe un malware ou dirige vers une page web contrefaite sur laquelle vous êtes invité à compléter vos données (de paiement). Le numéro aboutit à un fraudeur qui se fait passer pour une entreprise et tente de vous soutirer vos données.
Voici un exemple d'un faux SMS dans lequel l'escroc prétend être un enquêteur dans le cadre de la crise du coronavirus. Le numéro officiel est le 8811. Ce message semble provenir d'un autre numéro. Et le lien mène à une URL erronée, ce qui peut être également confirmé sur www.virustotal.com.
Voici un autre exemple de faux SMS. Le message est rédigé en français mais provient d’un numéro portugais : suspect. Le lien n’aboutit pas à une photo, mais bien à une url contenant un malware, comme en atteste notre vérification sur www.virustotal.com.
Autre escroquerie bien connue : une "connaissance" vous contacte soudain par WhatsApp et vous demande de l'argent sous un certain prétexte. Vous recevez un message d'un numéro inconnu. La personne prétend avoir un nouveau numéro. Pour une raison quelconque, il a besoin d'argent rapidement, par exemple pour payer une facture, et vous demande de le faire à sa place, parce que cela doit se faire rapidement. Vous obtenez la promesse que votre argent vous sera rendu dès que possible. Si vous essayez d'appeler cette personne pour obtenir votre remboursement, elle ne répondra généralement pas ou prétendra qu'elle a une mauvaise connexion. Parfois, les arnaqueurs vont même plus loin et imitent brièvement la voix de votre contact. Ils la connaissent des réseaux sociaux (par exemple d'une vidéo de votre contact sur Facebook ou Instagram). N'acceptez jamais une telle demande !
Phishing par téléphone
Le phishing par téléphone ("vishing") fonctionne comme suit : des escrocs tentent de convaincre leur victime de verser de l’argent pour partager des données personnelles, financières ou de sécurité. Exemple classique : un "collaborateur" de Microsoft ou d’une autre entreprise de technologie vous téléphone pour vous signaler un problème sur votre pc : votre pc est infecté par un virus, a été hacké, ne dispose pas de la version légale de Windows 10, etc.
En guise de "solution", il vous fait télécharger un programme ou vous invite à surfer sur un site Web déterminé. L’escroc a ainsi accès à votre ordinateur et au final, son intention est de vous faire payer pour résoudre le problème. Il s’agit alors d’un montant de quelques euros, que vous devez souvent payer au moyen de votre digipass. Alors que vous pensez que vous ne versez qu’une somme modique, l’escroc parviendra à vous subtiliser des centaines, voire des milliers d’euros.
Méfiez-vous aussi des personnes qui prétendent vous contacter de la part d’un organisme officiel pour, par exemple, vous permettre de toucher une prime suite à la crise du Covid. Abrégez la conversation et raccrochez. Surtout, ne communiquez pas vos informations bancaires : jamais une instance belge (ONSS, SPF…) ou européenne ne vous téléphonera pour vous demander ainsi votre numéro de compte.
Vers le haut de la pagePhishing sur les réseaux sociaux
Imaginez : vous n’êtes pas satisfait d’une société et exprimez votre mécontentement sur Facebook ou Twitter. L’entreprise a tout intérêt à réagir rapidement car le post est visible par tout un chacun. Mais... les escrocs aussi savent lire. Ils créent un faux compte et réagissent à votre plainte comme s’il s’agissait du service client. Pour être aidé, vous devez alors cliquer sur un lien (souvent raccourci). Ils installent ainsi un malware ou vous amènent à compléter vos données de paiement dont ils abusent ensuite.
Ci-dessous, un exemple de phishing via Twitter. Un client mécontent pose une question à PayPal et reçoit une réponse de "@AskPayPal_Tech". Les comptes officiels de PayPal sont toutefois "@PayPal" et "@AskPayPal". Le lien abrégé mène vers une fausse page de connexion où la victime est invitée à saisir ses données.
Exemple de phishing via Twitter : l'escroc se fait passer pour le service d'assistance de PayPal.
Vers le haut de la pagePhishing via Google Agenda
Pour cette méthode, les escrocs envoient de fausses invitations aux utilisateurs de Google Agenda. Ces invitations contiennent des liens de phishing. Sous prétexte que vous avez gagné une somme d'argent, par exemple, ils essaient de vous faire cliquer. L'intention est de vous faire remplir vos informations personnelles ou celles de votre carte de crédit dans un faux formulaire sur le web.
Les escrocs profitent d'un paramètre qui est activé par défaut dans Google Agenda et qui garantit que chaque invitation de calendrier est automatiquement ajoutée à votre agenda. Pour éviter que des invitations malveillantes apparaissent dans votre agenda et que vous cliquiez accidentellement sur des liens dans ces invitations, il est préférable de désactiver ce paramètre.
Ouvrez Google Agenda dans votre navigateur et cliquez sur la roue dentée en haut à droite, puis sur Paramètres. Cliquez sur Paramètres des événements. Sous Ajouter automatiquement les invitations choisissez Non, n’afficher que les invitations auxquelles j’ai répondu. Sous Options d’affichage décochez Afficher les événements refusés.
Vers le haut de la pagePhishing sur un site de seconde main
Vous savez certainement que vous devez vous méfier des annonces trop belles pour être vraies sur les sites de seconde main : article payé mais jamais reçu, article abîmé, article de contrefaçon, vous êtes prudent, à juste titre.
Ce qu’on sait moins c’est qu’il faut également se méfier des acheteurs. En effet, les escrocs utilisent les sites de seconde main pour entrer en contact avec les vendeurs, qu’ils proposent un vélo, une paire de chaussures, un vêtement, peu importe, le scénario est à peu près identique. Peu après la parution de votre annonce, un acheteur potentiel se dit intéressé, il est parfois même prêt à payer plus que le prix demandé pour être sûr d’avoir l’article. Ensuite, plusieurs scénarios sont possibles :
- Le soi-disant acheteur vous demande d’effectuer un paiement très modeste (0,50 à 1 €) par mesure de sécurité, il veut en effet s’assurer que votre n° de compte existe avant de vous verser le prix de l’article et il vous demande aussi votre n° de téléphone sous un prétexte quelconque;
- L’acheteur vous demande de pouvoir payer via un site ou une application où vous devrez créer un compte d’utilisateur pour récupérer l’argent. Lors de la création de ce compte, on vous demandera également de verser une somme modique ou de lier votre compte bancaire;
- L’acheteur habite à l’étranger et vous propose d’utiliser un service de livraison (parfois bien connu) il vous envoie le lien (qui est, bien sûr, un faux lien qui ne renvoie pas vers l’opérateur connu mais vers le site de notre escroc), là aussi, il vous sera demandé de créer un compte d’utilisateur impliquant le versement d’une somme modique ou l’utilisation de vos identifiants bancaires;
- L’acheteur habite à l’étranger et vous propose de payer l’article via un service de livraison (bien connu également). Vous recevez un mail soi-disant de ce service de livraison vous disant qu’il a bien reçu le paiement et que vous devez ouvrir un compte pour le récupérer.
Ce que ces 4 scénarios ont en commun c’est qu’on vous demande de verser de l’argent (en général, très peu) mais rappelez-vous que vous êtes le vendeur, vous n’avez rien à payer du tout pour vendre un article. Si on vous demande de l’argent alors que c’est à vous d’en recevoir, c’est assurément une arnaque. En communiquant votre n° de compte et votre n° de téléphone, l’escroc peut parvenir à installer une appli bancaire sur son propre smartphone et à ponctionner votre compte en banque. Pareil si vous communiquez vos identifiants bancaires à un site de paiement inconnu ou pour lequel l’escroc vous a envoyé un lien.
Vers le haut de la pagePhishing via un code QR
Voici comment fonctionne une arnaque par code QR : vous vendez un objet sur un site de seconde main et une personne vous contacte en vue de l’acheter. L’acheteur propose d'effectuer le paiement via son compte professionnel. Pour que le paiement soit possible, il demande de lui fournir votre numéro de compte. Rien d’anormal jusque-là. Quelques minutes après l’avoir communiqué, vous recevez un code QR à scanner pour confirmation. L’analyse se fait à partir de l'appli mobile réelle de la banque : tout semble légitime.
En fait, dans ce scénario de fraude, le code ne fait pas référence à une confirmation de paiement mais renvoie à un portail de connexion qui donne à l'escroc - en combinaison avec le numéro de compte bancaire précédemment utilisé - un accès direct à vos comptes, qui risquent d'être débités de sommes importantes. Nous vous conseillons donc d'être prudent lorsque vous recevez une demande de paiement pour laquelle vous scannez un code QR. Le transfert manuel est toujours plus sûr, car vous ne vous retrouverez pas dans un environnement de paiement contrefait, parfois difficile à identifier.
Bref, restez vigilant et prenez le temps de tout vérifier minutieusement.
Maintenant que vous savez ce qu'est le phishing et quelles sont ses formes, vous désirez certainement savoir comment vous en protéger. Nos articles suivants vous expliquent comment :
Vers le haut de la pageLes messages de phishing sont tous plus crédibles les uns que les autres, mais il existe des signaux auxquels vous pouvez être attentif.
Qui est l’émetteur ?
Vous avez reçu un e-mail semblant provenir d’une source fiable ? Vérifiez toujours l’adresse e-mail. La partie suivant le @ devrait se terminer par le nom de domaine du site web officiel. Si par exemple vous recevez un mail de la banque KBC, l’adresse e-mail devrait se terminer par "kbc.be".
Vous recevez un appel non sollicité ? Soyez doublement vigilant. Surtout si votre interlocuteur tente de vous convaincre de télécharger un programme, de compléter vos données financières (code de carte de banque, mot de passe pour les opérations bancaires en ligne, les codes de challenge-response de votre digipass...) sur un site web ou de les communiquer par téléphone.
Si une entreprise réagit à votre question sur les médias sociaux, assurez-vous tout d’ abord qu’il s’agisse d’un compte officiel : sur Facebook ou Twitter, vous trouverez une coche bleue à côté, pour indiquer que la page a été "vérifiée" et qu'elle est donc authentique.
En cas de doute, contrôlez l’identité de l’appelant ou de l’émetteur en recherchant l’adresse e-mail ou le numéro de téléphone de la véritable entreprise et en les contactant directement.
Demande d’informations personnelles ?
On vous demande d’envoyer des informations personnelles (données relatives à votre carte de crédit ou autres données de paiement), de les communiquer par téléphone ou de les compléter dans un formulaire web ? Ne le faites jamais. Les émetteurs fiables comme la banque, les instances publiques ou les entreprises technologiques ne demandent jamais de communiquer des informations confidentielles par e-mail, message ou téléphone.
Fautes d’orthographe ?
Les messages de phishing contiennent souvent des fautes d’orthographe et de grammaire. Vous recevez des e-mails ou des messages dans une langue autre que votre langue maternelle ? Dans ce cas, soyez vigilant. Surtout si vous êtes client de l’émetteur et que celui-ci ne communique normalement pas avec vous en français.
Où mène le lien ?
Contrôlez les liens : faites glisser sur eux le pointeur de votre souris (sur un ordinateur) ou laissez votre doigt appuyé sur eux pendant quelques instants (sur un appareil mobile) pour visualiser la véritable URL. Si elle ne mène pas vers le site web officiel, si elle contient des caractères spéciaux (p. ex. µ au lieu de u) ou s’il s’agit d’un lien abrégé, elle est probablement fausse. Une adresse correcte commence par le nom de l’entreprise, suivi par un point et puis "be", "com", etc. L'adresse apple.com est ainsi correcte mais l'URL login-apple.com est fausse. En cas de doute, saisissez vous-même dans votre navigateur l’adresse web que vous connaissez.
Pièce jointe ? Attention !
Les pièces jointes à un mail peuvent contenir des logiciels malveillants. Lorsque vous les ouvrez, un malware s’installe sur votre appareil. N’ouvrez donc jamais une pièce jointe provenant d’un émetteur en qui vous n’avez pas confiance. Soyez attentif au format du fichier. Les fichiers .zip, .exe et javascript (js) sont suspects.
Attention aux détails
Les escrocs ne sont pas nés de la dernière pluie. Pour faire paraître un faux e-mail ou un message plus vrai que nature, ils ajoutent souvent une foule de détails, comme des numéros de téléphone et des adresses. Assurez-vous qu’ils correspondent à ceux indiquées sur le site web officiel du prétendu émetteur.
Faites le test du phishing
La théorie est une chose, mais comment la mettre en pratique ? Sur Cybersimple.be, vous pouvez tester vos capacités à distinguer les vrais et faux e-mails.
Soyez proactif et réduisez la probabilité de faire les frais du phishing.
- Gardez un œil sur les alertes. Vous pouvez notamment télécharger l'application gratuite de Safeonweb. Elle vous envoie des notifications sur les différentes formes de fraude en ligne qui circulent en Belgique et sur les menaces concrètes qui pèsent sur votre réseau wifi.
- Ne partagez jamais vos données bancaires et autres informations personnelles avec qui que ce soit.
- Activez les filtres anti-spams dans votre mailbox et envoyez les messages suspects à suspect@safeonweb.be avant de les supprimer.
- Ne cliquez jamais sur des liens ou des pièces jointes dans des mails ou des messages (chat). Vous pouvez également les faire scanner par www.virustotal.com.
- Utilisez un mot de passe unique et fort pour chacun de vos comptes. Si vous trouvez cela trop compliqué, utilisez un gestionnaire de mots de passe. Nous vous aidons à choisir un bon logiciel à cet effet. Protégez vos comptes, dans la mesure du possible, avec la validation en deux étapes. Un escroc ne pourra ainsi plus accéder à vos comptes, même s’il obtient votre mot de passe.
- Ne réagissez jamais à des mails ou des messages semblant provenir d’escrocs. Vous leur donnez ainsi le signal que votre adresse e-mail, votre numéro de téléphone ou votre compte sur les réseaux sociaux est actif et qu’ils peuvent continuer à vous harceler.
- Protégez au maximum votre profil sur les réseaux sociaux de façon à ce que des étrangers ne puissent pas vous contacter ou dérober vos données ou vos photos pour escroquer d’autres personnes.
- Protégez votre ordinateur par un logiciel antivirus et maintenez-le à jour. Notre comparateur antivirus vous aidera à sélectionner le meilleur programme antivirus.
- Contrôlez régulièrement votre état de dépenses et signalez directement les transactions suspectes à votre banque.
A l'aide, j'ai cliqué !
- Si, après avoir cliqué sur un lien, vous avez saisi des informations de connexion telles que votre identifiant et votre mot de passe, il est préférable de changer ce mot de passe dès que possible pour tous les comptes en ligne où vous utilisez le même mot de passe. Désormais, assurez-vous d'utiliser un mot de passe unique et solide pour chaque compte.
- Vous avez communiqué des informations de paiement ? Contactez directement votre banque et faites bloquer votre carte via Card Stop (078 170 170). Déposez plainte à la police. Si vous n’avez pas encore supprimé l’ e-mail, celui-ci peut faire office de preuve.
- Vous avez ouvert une pièce jointe suspecte ou un lien ? Débranchez immédiatement les disques durs externes et coupez votre connexion Internet. Exécutez un scan complet afin de détecter les virus et scannez votre pc avec Malwarebytes. En cas de doute, contactez un réparateur, les malwares sophistiqués comme les ransomwares passent bien souvent sous le radar.
Les hameçonneurs et les fraudeurs deviennent de plus en plus intelligents et les banques ne protègent pas suffisamment les consommateurs contre les hameçonneurs et leurs pratiques sournoises. Voici sept propositions pour lutter contre le phishing. Nous voulons inciter les banques à les mettre en œuvre.
Sécurité supplémentaire pour les transferts importants
Les hameçonneurs se font souvent passer pour votre banque et vous font croire que vous devez prendre des mesures supplémentaires pour renforcer la sécurité de votre compte. En réalité, vous donnez aux hameçonneurs l'accès à votre compte afin qu'ils puissent transférer de gros montants vers un autre compte. Une question supplémentaire par e-mail, SMS ou notification dans votre application bancaire vous éviterait de vous laisser piéger. Vous pourriez fixer vous-même la limite de ce montant.
Sécurité supplémentaire pour les transferts vers de nouveaux contacts
Les hameçonneurs manipulent les choses de telle sorte qu'ils vous permettent de transférer de l'argent d'une manière ou d'une autre, souvent sans que vous vous en rendiez compte. Mais comme il s'agit d'un numéro de compte sur lequel vous n'avez jamais effectué de virement - et qui est donc nouveau - vous recevez un avertissement ou une notification de la banque par courrier, SMS ou app-note vous demandant si vous êtes sûr.
Une confirmation supplémentaire pour les transferts vers des comptes étrangers
Si les hameçonneurs parviennent à vous faire transférer de l'argent sur un compte étranger, il devient beaucoup plus difficile de le récupérer. Une demande supplémentaire par courrier, SMS ou notification dans votre application bancaire vous informerait alors que votre argent traverse les frontières. Mais pas sans votre consentement confirmé.
Un mot secret que seuls vous et votre banque connaissez
Si un hameçonneur vous attire sur son faux site bancaire et vous demande de vous connecter, un mot secret que seuls vous et votre banque connaissez apparaît normalement. Le hameçonneur ne peut jamais connaître ce mot et s'il n'apparaît pas, vous savez que vous êtes (ou pas) en train de vous faire rouler.
Une vérification supplémentaire de l'IBAN
Les hameçonneurs savent comment vous faire croire que vous effectuez un virement à vos amis ou à votre famille, alors que vous l'envoyez en fait sur un compte à leur nom, mais vous ne pouvez pas le voir. Si la banque s'assure que le numéro IBAN doit toujours correspondre au nom saisi, c'est là que le hameçonneur perd la partie.
Une carte de crédit virtuelle "à usage unique" que vous ne pouvez utiliser qu'une seule fois
Vous n'êtes pas sûr de la fiabilité d'une boutique en ligne, mais vous voulez quand même y acheter quelque chose avec une carte de crédit ? Vous pourriez alors créer, via votre application, une carte de crédit virtuelle "à usage unique" que vous ne pourriez utiliser qu'une seule fois et pour un montant limité. De cette façon, vous évitez que votre carte de crédit ne soit pillée.
Un avertissement si votre application bancaire est installée sur un autre appareil
Les hameçonneurs peuvent être en mesure de voler vos informations bancaires, mais s'ils les saisissent sur une application bancaire qui n'est pas la vôtre, ils doivent d'abord entrer un code généré sur l'application bancaire de votre appareil. Ou ils doivent utiliser un lecteur de carte et votre carte bancaire. Ainsi, le hameçonneur ne pourra pas installer une nouvelle application avec vos données à votre insu.
Vous voulez que les banques vous protègent mieux ? Répondez à notre questionnaire et notez les différentes solutions que nous vous proposons :
Vers le questionnaire Phishing