Se protéger contre le phishing, ou l'hameçonnage

Une nouvelle carte vitale arrivée, les impôts impayés, gagnant d'un tirage au sort ou encore une vidéo où vous êtes visible. Le phishing est une technique illégale vous incitant à donner des données personnelles. C'est aussi un moyen pour les hackers de vous soutirer de l'argent facilement. Je vais vous apprendre à éviter que l'hameçonnage n'aboutisse mais aussi à repérer une tentative de phishing.

Pirate qui fait du phishing

Qu'est-ce que le phishing ?

L'hameçonnage consiste à obtenir de vous, vos informations privées. Cette méthode se présente sous de nombreuses formes, il peut s'agir un SMS, d'un appel (opérateur téléphonique, sécurité sociale, conseiller bancaire, ...), d'un message sur les réseaux sociaux ("Ce n'est pas toi dans la vidéo ?") ou encore d'un e-mail (gagnant d'un téléphone dernière génération, retard de paiement des impôts, ...).

Les informations qui vous seront souvent demandées sont : votre mail, votre mot de passe et vos données bancaires. Cependant, il y a d'autres informations qui vous seront soutirées avant même que vous n'écriviez une seule lettre. C'est notamment le cas de votre Internet Protocol (I.P), qui permet de vous localiser à une centaine de mètres près.

Comment se protéger du phishing ?

hameçonnage par mail

Phishing par mail

Technique la plus réputée, l'hameçonnage par mail est assez facilement reconnaissable par ses fautes d'orthographes, mais aussi lorsque vous cliquez ou passez la souris sur le nom de l'expéditeur (l'adresse mail ne correspond jamais à l'entreprise falsifiée). Les messageries les classent souvent en spam.

Exemple de mail

hameçonnage par site web

Phishing par site web

Un peu plus complexe a réaliser, cette méthode consiste à créer un site frauduleux (souvent en imitant une grande entreprise ou réseau social) et être trouvé plus facilement sur les moteurs de recherche. Cela facilite la récupération de données. Regardez toujours l'URL de la page afin d'être sûr de vous trouver sur le bon site (en haut de votre écran, ici esteban-irschfeld.fr est l'URL domaine).

Exemple de site

hameçonnage par réseau social

Phishing par réseau social

L'hameçonnage le plus simple à réaliser ! Il s'agit bien souvent d'une personne dans votre cercle de relation qui vous envoie un petit message accompagné d'une URL sans queue ni tête (exemple : as0298123Klmoo.pro), une fois que vous serez sur le site, ils récupéreront au moins votre I.P. Si vous entrez vos informations de connexion, vous serez vous aussi "complice" de la propagation du piratage de compte.

Exemple de conversation

hameçonnage par SMS

Phishing par téléphone

Les arnaques par téléphone sont de plus en plus courantes. Mais c'est aussi le type d'arnaque le plus facilement identifiable. La majeur partie du temps, vous recevrez un message venant d'un +33 6 ou +33 7, ce qui est un numéro de particulier et non d'entreprise.

Exemple de SMS

Au lieu de commander vos produits sur des sites en .com, .net, ou .co.uk, achetez en France sur des sites sécurisés (les sites se terminent en .fr bien souvent). De plus, à côté de l'URL se trouve un cadena de couleur rouge (dangereux) ou verte (sécurisé) qui vous indique si le site est sécurisé ou non, Google Chrome vous signale lorsque vous êtes sur des sites frauduleux.
N'utilisez pas un mot de passe que vous utiliseriez ailleurs. Utilisez des mots de passe différents pour chaque site. Si vous avez peur d'oublier vos mots de passe, il existe des gestionnaire de mot de passe ou vous pouvez les noter dans un bloc-note.
Ne donnez pas votre numéro de carte bancaire à moins d'être sûr du site sur lequel vous êtes.

Je suis victime d'une arnaque par phishing, que faire ?

Vous l'avez bien compris, les pirates informatiques ont un panel relativement large pour vous soutirer vos informations sensibles. Voici ce que vous pouvez faire si par mégarde, vous vous êtes fait avoir :

  • Faire opposition : Vous avez donné de manière maladroite vos informations bancaires et vous vous apercevez qu'il y a des opérations frauduleuses sur votre compte en banque, faites opposition. Cependant soyez attentif, avec la double authentification de votre banque, aucun remboursement du vole ne sera pas effectué.
  • Porter plainte : En cas d'opérations frauduleuses sur votre compte bancaire ou d'usurpation d'identité, il vous faudra aller déposer plainte au commissariat, en apportant les preuves.
  • Changer vos mots de passe : Vous avez cliqué sur un lien de phishing et tenté de vous connecté à votre compte (réseau social ou client) sans succès ? Changez immédiatement votre mot de passe sur le site s'étant fait copier, puis sur les autres sites où vous utilisez ce même mot de passe.
  • Signalez la tentative d'arnaque : Si vous avez reçu un e-mail, un message ou un appel frauduleux, vous pouvez le signaler directement sur signal-spam.fr. Si c'est pour un site web, privilégiez le site phishing-initiative.fr.

Envie d'en savoir plus ?

Vous souhaitez en savoir plus et vous avez 4min devant vous ? Je vous recommande de regarder cette vidéo de Konbini qui rentre un peu plus dans le détail !