Annuler
Menu
Accueil / Assurances Accidents de la vie / Conseils / Comment se protéger du phishing et hameçonnage sur le web ?

Comment se protéger du phishing et hameçonnage sur le web ?

Publié en juin 2022

Seul un Français sur cinq n’aurait pas encore été victime d’une attaque de phishing ou hameçonnage par email. Les géants d’Internet rencontrent d’ailleurs de grandes difficultés à faire face à ce fléau. En 2021, un adolescent a arnaqué des internautes, à hauteur de 2,5 millions d’euros, en créant un site de phishing mis en avant par Google ! Comment se protéger de cette escroquerie ? Les conseils de la Matmut.

Définition du phishing ou hameçonnage : qu’est-ce que c’est ?

L’hameçonnage, ou phishing en anglais, est une fraude employée par les cybercriminels pour voler des informations personnelles et/ou bancaires à des internautes.

 

Concrètement, le cybercriminel se fait passer pour un tiers de confiance (banque, administration, réseau social, boutique en ligne) et envoie aux internautes des emails destinés à dérober leurs données personnelles. Une fois ces données récupérées, il ne reste plus à l’escroc qu’à les employer en se faisant passer pour l’internaute ou alors à revendre les informations volées à d’autres cybercriminels.

À lire aussi : Cyber-risque, cybercriminalité : de quoi parlons-nous ?

 

Quelles données visent le phishing ?

Les données personnelles que visent les escrocs du phishing peuvent être de multiple nature. Il peut s’agir de données d’identité, de mots de passe pour accéder à des services en ligne. Ou encore de références bancaires.

 

Début 2022, en France, les campagnes de phishing visaient plus particulièrement les informations sur les CPF (compte personnel de formation) gérés, pour tous les salariés, par la Caisse des Dépôts.

 

Toujours très présent, le phishing ou hameçonnage s’est modernisé (le spear phishing, voir plus loin) mais la technique est pourtant ancienne. Le premier cas documenté date en effet du milieu des années 90. Il s’agissait alors d’une tentative de vol des noms d’utilisateurs et mots de passe des clients du fournisseur d’accès internet américain AOL.

À lire aussi : Arnaques : nos conseils pour ne pas se faire piéger sur internet

 

Quelles sont les formes les plus courantes de phishing ou hameçonnage ?

On peut classer les tentatives d’hameçonnage les plus classiques en trois catégories.

  • Le phishing lié aux impôts: De faux messages de la direction des finances publiques avertissent d’un remboursement ou exigent le règlement d’un impayé. Pour en savoir plus sur ce sujet spécifique, vous pouvez consulter le site gouvernemental Cyber Malveillance ;
  • Le phishing bancaire: Cet hameçonnage vise à récupérer les coordonnées bancaires des internautes sous prétexte d’un renforcement de sécurité du compte ;
  • Le phishing loterie: Le mail d’hameçonnage prétexte une prise de contact à la suite d’un gain (imaginaire) à une loterie en France ou à l’étranger.

Bon à savoir : 
Le phishing dans le domaine de l’assurance peut, par exemple, prendre la forme d’un email envoyé par votre assureur vous demandant vos identifiants à votre espace personnel ou vos informations bancaires pour le règlement de votre cotisation annuelle.

 

Le spear phishing : de quoi s’agit-il ?

Le spear phishing ou hameçonnage ciblé est une tentative visant généralement des salariés de grandes entreprises ou de PME, mais qui vise également aujourd’hui les particuliers.

 

L’objectif du malfaiteur est ici surtout de dérober de l’argent et/ou des secrets industriels. Mais au lieu d’envoyer des mails de phishing « génériques », les cybercriminels se renseignent méticuleusement sur l’identité et les habitudes de leurs potentielles victimes et personnalisent les emails envoyés.

 

Le cybercriminel tente ensuite de se faire passer pour un individu ou une société avec laquelle la potentielle victime a l’habitude de travailler.

À lire aussi : Cybersécurité : quels sont les différents types d’attaques informatiques pour une entreprise ?

 

Comment repérer un mail de phishing ?

Les mails de phishing / hameçonnage sont conçus pour susciter la confiance et sembler émaner d’un expéditeur fiable. Le contenu du message peut être alarmant (compte à découvert, abonnement non réglé, etc.) : ne répondez jamais de manière impulsive et contrôlez les points suivants.

Adresse d’expédition

La plupart des mails de phishing utilisent des adresses d’expédition fantaisistes. C’est donc la première information à contrôler. Pour cela, vous n’avez même pas à ouvrir le mail.

  • Survolez le nom de l’expéditeur avec votre souris pour voir l’adresse d’expédition du mail ;
  • Si celle-ci ne comporte pas le nom de l’entité dont le message est censé émaner ou si le nom comporte une faute d’orthographe, vous êtes face à un mail de phishing ;
  • Exemples : un mail supposé de l'assurance maladie émanant d'une adresse s'achevant par un "sdlqf.owler.com" n'émane évidemment pas de cette administration. Pas plus qu’un mail s’achevant par un « fri.com » ne provient du fournisseur d’accès Free.

Logo de la marque inhabituel

Un logo à peine visible, une image mal cadrée dans le corps du message, constituent autant d’indices d’un mail de phishing réalisé à la va-vite.

Vous n’êtes pas client

Si l’expéditeur du mail est un service ou une société dont vous n’êtes pas client, n’ouvrez pas le message. Il arrive toutefois parfois que, par malchance, les malfaiteurs du phishing tombent juste. Et contactent par hasard une personne cliente de l’entreprise ou du service dont ils usurpent l’identité. En cas de doute, prenez toujours directement contact avec l’administration ou l’entreprise concernée.

L’email n’est pas personnalisé

Les entreprises personnalisent l’envoi de mails à leur client et mentionnent leur nom, parfois leur prénom dans les salutations en tête de message. Si le message reçu débute par une formule passe-partout du type « Cher client », méfiance ! ;

 

Gare aux pièces jointes

Souvent les mails de phishing sont accompagnés de documents en pièces jointes. Ces faux documents peuvent ouvrir une porte dans votre système informatique. La Matmut vous rappelle qu’il ne faut jamais ouvrir de pièce jointe téléchargée sur internet sans l’avoir préalablement soumise à un antivirus à jour. Ce même antivirus généralement équipé aussi d’un pare-feu (Firewall en anglais) vous avertira si un lien internet inclus dans le message, risque de vous orienter vers un site non sûr.

 

Les fautes d'orthographe

Même si le bon usage orthographique tend à s’éroder, un message truffé de fautes d’orthographe ou de grammaire a de grande chance d’être un mail de phishing ;

 

Demande de vérification de données personnelles

Si le message vous enjoint à spécifier vos données confidentielles (numéro de compte, mot de passe, etc), attention ! Jamais une entreprise ou une administration ne vous contactera par mail pour vous demander vos identifiants ou vos coordonnées bancaires.

La Matmut s’engage : 
Les cyber-attaques constituent un risque de plus en plus grand pour tous les professionnels. C’est la raison pour laquelle la Matmut a créé une formule de contrat d’assurance adaptée aux besoins des pros.

Que faire si vous recevez un mail de phishing ?

Une fois la tentative de fraude suspectée ou détectée, adoptez ces réflexes :

  • Ne répondez pas : Ne répondez jamais aux messages suspects. Dans la mesure du possible n’ouvrez d’ailleurs même pas ces messages ;
  • Bloquez l’expéditeur : Placez le message suspect dans les spams (courriers indésirables) et, si votre messagerie électronique le permet, bloquez manuellement l’expéditeur ;
  • Signalez la tentative de phishing : Pour éviter que d’autres tombent dans le piège, signalez le mail suspect de phishing sur le site officiel du gouvernement;
  • Dénoncez un lien internet suspect : Souvent les mails de phishing contiennent des liens cliquables. Vous pouvez signaler ces liens sur le site Phishing Initiative qui les fera bloquer par les développeurs de navigateurs internet (Chrome, Firefox, etc.).

Comment réagir si vous avez été victime d’un phishing ?

Si jamais vous avez été victime d’un email de phishing et communiqué un mot de passe et des identifiants, tout n’est pas perdu ! Mais il faut agir vite ! La Matmut vous conseille de changer immédiatement ces identifiants (au moins le mot de passe). Et ce sur tous les sites où vous employez ce passe compromis.

À lire aussi : Se protéger contre la cybercriminalité

 

Éviter le phishing : les précautions conseillées par la Matmut

  • Ne donnez jamais d’informations personnelles importantes (numéro de carte bancaire, mot de passe, identifiant client) en cliquant sur un lien reçu par email ;
  • Quand vous devez vous connecter à un site et entrer ce genre d’informations, démarrez toujours votre navigation depuis la page d’accueil du site. Jamais depuis un lien inclus dans un mail. Vérifiez aussi que la connexion est cryptée : l’adresse du site doit débuter par « https:// » – le « s » indiquant la sécurisation – et non plus simplement « http:// » ;
  • Dans la mesure du possible, la Matmut vous encourage à employer toujours des mots de passe différents et complexes (minimum 8 caractères en mêlant minuscules et majuscule, des chiffres et des symboles spéciaux, par exemple « % » ou « & »). Et ce pour chacun des services web que vous utilisez. Vous pouvez, à ce titre, utiliser un gestionnaire de mot de passe.

La Matmut vous accompagne

Face aux aléas de la vie quotidienne, la Matmut cherche à vous donner un maximum d'informations pour vous protéger contre ces événements. Découvrez notre solution d'assurance accidents de la vie.

Devis en ligne