Phishing par email : comment s’en protéger ?

Le phishing est une technique de piratage informatique de données. Les voleurs hameçonnent le plus souvent leurs victimes par e-mail voire sur les réseaux sociaux par des publications, à l’aide d’un lien cliquable renvoyant vers un faux site ou d’un fichier à télécharger installant un logiciel malveillant. Les deux méthodes ont pour but d’aspirer les données. Comment se préserver des tentatives de phishing ? Comment réagir en cas de doutes ?

Définition de la technique de phishing

La méthode utilisée est en réalité éprouvée depuis longtemps. L’objectif est de tromper la victime par e-mail ou autre. Le courriel contient généralement un texte expliquant que tel ou tel établissement a besoin d’informations, d’identifiants ou de coordonnées bancaires pour faire un virement par exemple. Pour un particulier, l’appât est souvent l’argent (remboursement d’un trop-perçu, somme d’argent soi-disant gagnée par tirage au sort, etc.).

L’e-mail invite à cliquer sur le lien pour se connecter à un site tiers. Ce dernier peut très bien avoir la même allure qu’un site officiel, sauf qu’il ne s’agit pas d’un site officiel. La victime poursuit son parcours, pensant par exemple décrocher un remboursement. C’est alors qu’il renseigne les informations requises sur le faux site et, sans s’en apercevoir, révèle aux malfrats son identité, son adresse, ses identifiants ou ses coordonnées bancaires.

À partir de là, les pirates récupèrent ces données, les exploitent pour dérober de l’argent à leur propre compte ou bien les revendent sur le marché noir à d’autres pirates. La phishing consiste aussi à transmettre un fichier en document attaché et inviter le destinataire à le télécharger. Cette action conduit à l’intrusion d’un logiciel pirate, qui peut causer différents dommages et préjudices.

Le phishing touche tous les publics

Personne n’est à l’abri de cette technique, tant les adresses e-mail circulent partout sur internet. Les particuliers sont généralement les plus ciblés et vulnérables, par méconnaissance, imprudence ou crédulité. Néanmoins, les entreprises n’échappent pas à ce phénomène.

Les cybercriminels parviennent à pénétrer dans les réseaux professionnels par phishing d’employés. Et les dégâts imaginables sur leur activité sont nombreux :

• fuite des données à la concurrence ;

• vol d’informations confidentielles ;

• détournement de leur base de données client ;

• hacking de leur site corporate ;

• mise hors service de sites de vente en ligne ;

• attaque de l’e-réputation de la société ;

• demande de rançons (ransomware) ;

• fraude financière ;

• introduction d’un malware.

Le septième rapport « State of Phish » de Proofpoint¹, publié en 2021, montre que la période Covid a été propice à l’hameçonnage. Au niveau mondial, 57 % des entreprises ont été touchées par une attaque réussie. En France, le message semble mieux passer, puisque moins d’une entreprise sur deux a été concernée et seulement 8 % ayant accepté de verser une rançon contre la rétribution des données volées.

Mais la partie est loin d’être gagnée, car seuls 39 % des professionnels de la sécurité informatique procèdent à une formation des utilisateurs par rapport au danger représenté par le phishing (contre 53 % dans le reste du monde).

Les réflexes à adopter contre le phishing

Pour détecter les e-mails frauduleux et faire face à la fraude à la carte bancaire, il est nécessaire que le destinataire soit attentif à l’adresse e-mail de l’expéditeur. Généralement, elle paraît suspecte. Le message comporte souvent des fautes d’orthographe assez grossières. La mise en forme n’est pas professionnelle, et les images ou logos trop flous pour être honnêtes.

Enfin, et surtout, ne communiquez jamais vos mots de passe, votre numéro de carte bancaire ou les codes de sécurité reçus sur votre téléphone portable. Ils vous sont strictement confidentiels et les entreprises ou établissements ne vous demandent pas ce type de renseignements par e-mail en principe. Dans le doute, connectez vous directement sur le site internet de l'entreprise ou l'établissement en question (d'autant plus si vous avez un espace client sécurisé) et/ou contactez-les directement.

Pour aller sur un site officiel, il faut taper le nom dans la barre de recherche plutôt que de suivre un lien. En ce qui concerne les achats en ligne, l’acheteur doit vérifier que la boutique en ligne est sécurisée. L’adresse doit commencer par « HTTPS ».

Pour un paiement sécurisé sur internet, les banques proposent désormais des cartes virtuelles éphémères. A la création du numéro de carte, le client paramètre deux bornes : une durée de validité (maximum 24 mois) et un montant maximum. Il s'agit de paiement à distance au moyen des données de cartes virtuelles se substituant à celles de sa carte réelle, ce qui empêche les voleurs d’utiliser vos données bancaires initiales. Et l’authentification renforcée permet d’éviter le piratage de sa carte bancaire.

Pour contrer le piratage de sa carte bancaire, le titulaire doit faire opposition en contactant le service interbancaire prévu à cet effet (0 892 705 705). Il doit informer immédiatement sa banque pour solliciter une nouvelle carte bancaire. Enfin, il peut émettre un signalement sur la plateforme Perceval.

Les informations transmises dans cet article ont un caractère purement informatif et ne sauraient être considérées comme un conseil délivré par Fortuneo (juridique, fiscal, investissement ou autre).

Source: Jellyfish, Mars 2022

Crédit visuel : fizkes (Gettyimages)