Phishing informatique : identifier et éviter l’hameçonnage

Le phishing est une technique d’escroquerie ancienne, mais toujours aussi populaire chez les pirates informatiques. Selon Kaspersky Labs, le nombre de mails d’hameçonnage a doublé en 2018. Pourtant, il existe des moyens de détecter ces attaques. 

Phishing, filoutage ou hameçonnage : définition

“Phishing” est un mot-valise provenant des mots anglais “phreaking” (piratage téléphonique) et “fishing” (pêche). On le traduit en français par “hameçonnage” ou parfois “filoutage”. 

Le phishing est une technique d’escroquerie en ligne visant à récupérer les informations confidentielles des internautes. Les pirates informatiques envoient un e-mail en se faisant passer pour une entreprise (site e-commerce, banque, opérateur téléphonique, fournisseur d’énergie) ou une institution (service des impôts, caisse d’allocations familiales, Assurance Maladie). L’hameçonnage sur Facebook et d’autres réseaux sociaux existe aussi : les cybercriminels essayent alors d’accéder au compte Facebook de leurs victimes en leur demandant leurs identifiants et mots de passe. 

Dans le texte de l’e-mail, l’internaute est invité à cliquer sur un lien, puis à entrer ses informations personnelles dans un formulaire (identifiant, mot de passe, coordonnées bancaires, etc.). Pour inciter l’internaute à suivre cette procédure, l’e-mail peut prétexter une urgence (“votre compte va être supprimé”, “votre situation n’est pas en règle”, “vous n’avez pas payé”…), une récompense ou un remboursement. Par ailleurs, l’e-mail et le formulaire reprennent la charte graphique du site officiel pour mieux tromper la victime.

À partir du formulaire, les cybercriminels récupèrent les données personnelles de la victime, et s’en servent pour prélever des sommes sur son compte bancaire ou pour effectuer un virement, par exemple. Le lien peut aussi renvoyer vers un site non sécurisé et malveillant infectant l’ordinateur de la victime avec un ransomware.

Hameçonnage : que faire ?

Vous pensez avoir été victime d’hameçonnage : que faire pour empêcher les cybercriminels d’utiliser vos informations personnelles ? Voici comment agir :

  • déposez une pré-plainte en ligne sur le site pre-plainte-en-ligne.gouv.fr ;
  • pour éviter l’hameçonnage sur Facebook ou d’autres réseaux sociaux, changez votre mot de passe si vous avez entré celui-ci sur une page factice ;
  • contactez votre banque pour l’avertir d’un usage frauduleux de vos données bancaires ;
  • vous pouvez dénoncer l’hameçonnage par mail dont vous avez été victime sur la plateforme Pharos (plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements) mise en place en France. 

Si vous avez reçu un e-mail suspect, ne cliquez pas sur le lien présent. Ne répondez pas à l’e-mail, et ne le transférez à personne. Vous pouvez en revanche dénoncer l’hameçonnage sur une plateforme comme Phishing Initiative. Celle-ci vous invite à copier/coller l’URL présente dans le corps de l’e-mail pour bloquer le faux site dans la plupart des navigateurs web et éviter ainsi que d’autres internautes tombent dans le piège. Attention toutefois à ne jamais ouvrir le lien, car il peut vous renvoyer vers un site malveillant. Vous pouvez aussi supprimer l’e-mail, ou l’ajouter aux spams.

Comment se protéger du phishing ?

La première chose à faire pour éviter de tomber dans le piège est d’apprendre à reconnaître un e-mail de phishing :

  • vous n’êtes pas client(e) de l’entreprise pour laquelle se font passer les expéditeurs ;
  • l’e-mail contient des fautes d’orthographe ou des erreurs de syntaxe ;
  • l’e-mail n’est pas nominatif : il commence par “Madame, Monsieur” ou “Cher client” ;
  • l’adresse de l’expéditeur ne comporte pas le nom de domaine de l’entreprise : par exemple, l’adresse d’un service client officiel doit être sous la forme service.client@entreprise.com, et non service.client@gmail.com ;
  • l’objet de l’e-mail n’est pas formel ;
  • le message se veut pressant et vous incite à agir en urgence ;
  • l’e-mail ne contient pas de signature officielle.

Voici quelques conseils pour vous protéger de l’hameçonnage par mail.

  • Aucune entreprise n’est censée vous demander de lui communiquer des informations importantes par e-mail. Si vous devez renseigner des données sensibles sur un site, assurez-vous que la page est sécurisée. L’URL doit commencer par “https” et afficher un petit cadenas. Par sécurité, contactez la société en question en vous rendant directement sur son site officiel. 
  • Assurez-vous que les filtres anti-spam sont activés dans votre messagerie.
  • Mettez à jour votre navigateur web. Celui-ci est doté de systèmes de sécurité qui détectent les sites malveillants. Le navigateur affichera un message d’avertissement si vous cliquez sur un lien suspect.
  • Installez un antivirus de la gamme Kaspersky (ex : Kaspersky Internet Security). Ce logiciel vous protégera en temps réel de l’hameçonnage et d’autres cybermenaces comme les ransomwares et les virus informatiques.
Découvrez Kaspersky Total Security