Comment se protéger du phishing et hameçonnage sur le web ?

Seul un Français sur cinq n’aurait pas encore été victime d’une attaque de phishing ou hameçonnage par email. Les géants d’Internet rencontrent d’ailleurs de grandes difficultés à faire face à ce fléau. En 2021, un adolescent a arnaqué des internautes, à hauteur de 2,5 millions d’euros, en créant un site de phishing mis en avant... par Google ! Comment se protéger de cette escroquerie ? Les conseils de la Matmut.

Définition du phishing ou hameçonnage : qu’est-ce que c’est ?

L’hameçonnage, ou phishing en anglais, est une fraude employée par les cybercriminels pour voler des informations personnelles et/ou bancaires à des internautes dans le but de leur soutirer de l’argent.

Concrètement, le cybercriminel se fait passer pour un tiers de confiance (banque, administration, réseau social, boutique en ligne) et envoie aux internautes des emails destinés à dérober leurs données personnelles. Une fois ces données récupérées, l’escroc n’a plus qu’à les employer en se faisant passer pour l’internaute ou alors à revendre les informations volées à d’autres cybercriminels.

À lire aussi : Cyber-risque, cybercriminalité : de quoi parlons-nous ?

Quelles données visent le phishing ?

Les données personnelles que visent les escrocs du phishing peuvent être de multiple nature. Il peut s’agir de données d’identité, de mots de passe pour accéder à des services en ligne, ou encore des références bancaires.

Début 2022, en France, les campagnes de phishing visaient plus particulièrement les informations sur les CPF (compte personnel de formation) gérés, pour tous les salariés, par la Caisse des Dépôts.

La technique est pourtant ancienne : le premier cas documenté de phising date du milieu des années 90. Il s’agissait alors d’une tentative de vol des noms d’utilisateurs et mots de passe des clients du fournisseur d’accès internet américain AOL.

Le phishing ou hameçonnage, toujours très présent, s’est modernisé. Cette nouvelle technique aussi baptisée spear phishing, est un phishing centré sur un groupe de personnes plus restreint et plus ciblé.

À lire aussi : Arnaques : nos conseils pour ne pas se faire piéger sur internet

Quelles sont les formes les plus courantes de phishing ou hameçonnage ?

On peut classer les tentatives d’hameçonnage les plus classiques en 2 catégories.

• Le phishing où il vous est reproché de ne pas avoir réglé une certaine somme avec menace d'une supposée pénalité de retard supplémentaire.
• Le phishing vous informant d’une erreur financière en votre faveur, ce qui engagerait un remboursement ou un versement.

Attention, le phishing peut également se présenter sous des formes différentes : emails concernant des colis, des cadeaux, des offres exceptionnelles, … Et même par des SMS voire par des appels téléphoniques !

L'intérêt de ces manœuvres frauduleuses est de récupérer les coordonnées bancaires des internautes sous prétexte d’un renforcement de sécurité du compte, d'obtenir de la victime un versement d’argent ou même d’usurper votre identité.

Pour vous renseigner davantage sur ce sujet spécifique, n’hésitez pas à consulter le site du gouvernement : Cyber Malveillance.

Bon à savoir : 
Le phishing dans le domaine de l’assurance peut, par exemple, prendre la forme d’un email censé envoyé par votre assureur vous demandant vos identifiants à votre espace personnel ou vos informations bancaires pour le règlement de votre cotisation annuelle.

Le spear phishing : de quoi s’agit-il ?

Le spear phishing ou hameçonnage ciblé est une tentative visant généralement des salariés de grandes entreprises ou de PME, mais qui cible également aujourd’hui les particuliers.

L’objectif du malfaiteur est ici surtout de dérober de l’argent et/ou des secrets industriels. Mais au lieu d’envoyer des emails de phishing « génériques », les cybercriminels se renseignent méticuleusement sur l’identité et les habitudes de leurs potentielles victimes et personnalisent les emails envoyés.

Le cybercriminel tente ensuite de se faire passer pour un individu ou une société avec laquelle la potentielle victime a l’habitude de travailler.

À lire aussi : Cybersécurité : quels sont les différents types d’attaques informatiques pour une entreprise ?

Comment repérer un mail de phishing ?

Les emails de phishing / hameçonnage sont conçus pour susciter la confiance et sembler émaner d’un expéditeur fiable. Le contenu du message peut être alarmant (compte à découvert, abonnement non réglé...).

Un seul réflexe à adopter face à de tels messages : ne répondez jamais de manière impulsive et contrôlez les points suivants :

Adresse d’expédition

La plupart des mails d'hameçonnage utilisent des adresses d’expédition fantaisistes. C’est donc la première information à contrôler. Pour cela, vous n’avez même pas à ouvrir l’email.

• Survolez le nom de l’expéditeur avec votre souris pour voir l’adresse d’expédition de l’email ;
• Si celle-ci ne comporte pas le nom de l’entité dont le message est censé émaner ou si le nom comporte une faute d’orthographe, vous êtes face à un email de phishing ;

Exemples : un email supposé de l'Assurance Maladie émanant d'une adresse s'achevant par un "sdlqf.owler.com" n'émane évidemment pas de cette administration. Pas plus qu’un email s’achevant par un « fri.com » ne provient du fournisseur d’accès Free.

Logo de la marque inhabituel

Un logo à peine visible, une image mal cadrée dans le corps du message, constituent autant d’indices d’un email de phishing réalisé à la va-vite. Les cybercriminels font hélas de plus en plus rarement ce type d'erreur...

Vous n’êtes pas client

Si l’expéditeur de l’email est un service ou une société dont vous n’êtes pas client, n’ouvrez pas le message. Il arrive toutefois parfois que, par malchance, les malfaiteurs du phishing tombent juste. Et contactent par hasard une personne cliente de l’entreprise ou du service dont ils usurpent l’identité.

En cas de doute, prenez toujours directement contact avec l’administration ou le service client de l'entreprise concernée.

L’email n’est pas personnalisé

Les entreprises personnalisent l’envoi d’emails à leur client et mentionnent leur nom, parfois leur prénom dans les salutations en tête de message. Si le message reçu débute par une formule passe-partout du type « Cher client », méfiance !

Gare aux pièces jointes

Souvent les emails de phishing sont accompagnés de documents en pièces jointes. Ces faux documents peuvent ouvrir une "porte dérobée" dans votre système informatique.

La Matmut vous rappelle qu’il ne faut jamais ouvrir de pièce jointe téléchargée sur internet sans l’avoir préalablement soumise à un antivirus à jour. Ce même antivirus généralement équipé aussi d’un pare-feu (Firewall en anglais) vous avertira si un lien internet inclus dans le message risque de vous orienter vers un site non sûr.

Les fautes d'orthographe

Même si le bon usage orthographique tend à s’éroder, un message truffé de fautes d’orthographe ou de grammaire a de grande chance d’être un email de phishing.

Demande de vérification de données personnelles

Si le message vous enjoint à spécifier vos données confidentielles (numéro de compte, mot de passe...), attention ! Jamais une entreprise ou une administration ne vous contactera par email pour vous demander vos identifiants, votre code de carte bancaire  ou vos coordonnées bancaires.

La Matmut s’engage :  Les cyber-attaques constituent un risque de plus en plus grand pour tous les professionnels. C’est la raison pour laquelle la Matmut a créé une formule de contrat d’assurance adaptée aux besoins des pros.

Gardez à l’esprit que la technologie évolue et par conséquent les techniques de phishing aussi. De plus en plus d’emails de bonne qualité (bon logo, sans faute d’orthographe...) sont des emails de phishing et laissent penser à une réelle demande de l’auteur de l’email. Soyez d’autant plus vigilant !

Que faire si vous recevez un mail de phishing ?

Une fois la tentative de fraude suspectée ou détectée, adoptez ces réflexes :

• Ne répondez pas : Ne répondez jamais aux messages suspects. Dans la mesure du possible n’ouvrez d’ailleurs même pas ces messages ;
• Bloquez l’expéditeur : Placez le message suspect dans les spams (courriers indésirables) et, si votre messagerie électronique le permet, bloquez manuellement l’expéditeur ;
• Signalez la tentative de phishing :Pour éviter que d’autres tombent dans le piège, signalez tout mail suspect de phishing sur le site officiel du gouvernement;
• Dénoncez un lien internet suspect : Souvent les emails de phishing contiennent des liens cliquables. Vous pouvez signaler ces liens sur le site Phishing Initiative qui les fera bloquer par les développeurs de navigateurs internet (Chrome, Firefox, Safari...).

Comment réagir si vous avez été victime d’un phishing ?

Si jamais vous avez été victime d’un email de phishing et communiqué un mot de passe et des identifiants, tout n’est pas perdu ! Mais il faut agir vite ! La Matmut vous conseille de changer immédiatement ces identifiants (au moins le mot de passe). Et ce sur tous les sites où vous employez ce passe compromis. D'une manière générale, chacun de vos services en ligne doit être protégé par un mot de passe différent.

À lire aussi : Se protéger contre la cybercriminalité

Éviter le phishing : les précautions conseillées par la Matmut

• Quand vous devez vous connecter à un site et entrer ce genre d’informations, démarrez toujours votre navigation depuis la page d’accueil du site. Jamais depuis un lien inclus dans un mail qui risque de vous orienter vers un site frauduleux. 
• Vérifiez aussi que la connexion est cryptée:  L’adresse du site doit débuter par « https:// » – le « s » indiquant la sécurisation – et non plus simplement « http:// », vous pourrez également observer l'apparition d'un petit logo en forme de cadenas juste avant l’adresse ;
• Dans la mesure du possible, la Matmut vous encourage à employer toujours des mots de passe différents et complexes (minimum 12 caractères en mêlant minuscules et majuscule, des chiffres et des symboles spéciaux, par exemple « % » ou « & »). Et ce pour chacun des services web que vous utilisez. Si vous peinez à mémoriser tous ces identifiants, vous pouvez employer un gestionnaire de mot de passe indépendant de votre navigateur internet. Celui-ci stocke vos identifiants de manière cryptée. Grâce à ce type d’outil, vous n’aurez ainsi qu’à garder en tête un unique mot de passe complexe pour accéder à l’ensemble de vos identifiants de comptes. 

Pour compléter : Comment créer un mot de passe fort pour vos services en ligne