Nous passons une grande partie de notre vie personnelle et professionnelle en ligne, que ce soit pour effectuer des opérations bancaires, garder le contact avec nos amis et notre famille, ou nous détendre après une longue journée en regardant nos films et nos séries préférés. Si Internet nous est devenu presque indispensable, il s’agit aussi d’un formidable terrain de jeu pour les cybercriminels, notamment ceux qui commettent des vols d’identité.

Ces escrocs peuvent tenter de profiter d’une personne en essayant de la convaincre de divulguer ses informations personnelles ou de cliquer sur des liens permettant de télécharger des éléments tels que des malwares. Ils peuvent essayer de se faire passer pour une source digne de confiance ou pour quelqu’un que vous connaissez personnellement. Cette fausse communication en ligne est appelée « phishing ».

Comme nous l’avons tous déjà entendu, le savoir, c’est le pouvoir. En comprenant ce qu’est le phishing, comment il fonctionne et quels sont les signes à surveiller, vous pouvez réduire les risques et continuer à profiter d’Internet comme il se doit. Voici ce que vous devez savoir. 

Comment fonctionne le phishing ?

Vous avez probablement déjà entendu le terme « phishing », mais vous ne savez peut-être pas ce qu’il signifie. Voici un bref aperçu de son fonctionnement.

Le phishing est un type de cyberattaque dans le cadre de laquelle des escrocs envoient des communications qui semblent provenir de sources fiables telles qu’une grande entreprise, alors qu’ils essaient en réalité d’abuser de la confiance des gens grâce à une technique appelée ingénierie sociale. Ils peuvent demander des informations sensibles telles que des mots de passe, des données bancaires et des numéros de carte de crédit. Les pirates informatiques peuvent alors utiliser ces informations pour accéder à vos cartes de crédit ou à vos comptes bancaires.

Le problème avec les attaques de phishing, c’est qu’elles peuvent passer par plusieurs plateformes, notamment :  

  • Messagerie électronique : il s’agit du type de phishing le plus courant, 96 % des attaques de phishing étant véhiculées par e-mail. 
  • Appels téléphoniques : les escrocs peuvent laisser des messages encourageant les cibles à appeler un numéro où quelqu’un leur demandera des informations personnelles.  
  • SMS : l’objectif est d’inciter les gens à cliquer sur des liens menant à un site/page Web malveillant 
  • Usurpation de réseaux Wi-Fi  : les escrocs créent un hotspot Wi-Fi gratuit malveillant qui semble être un point d’accès légitime. Une fois connectés, ils ont accès au système de l’utilisateur. 

Quels types d’informations les auteurs d’attaques de phishing recherchent-ils ?

Nous avons mentionné que les auteurs d’attaques de phishing cherchent à obtenir des informations sensibles, mais lesquelles exactement ? Voici quelques-unes des informations recherchées par les escrocs :  

  • Identifiants de connexion (p. ex., compte de messagerie et mot de passe) 
  • Informations de carte de crédit 
  • Numéros de compte bancaire 
  • Numéros de sécurité sociale 
  • Données d’entreprise 

Types d’attaques de phishing

Les escroqueries de phishing peuvent prendre de nombreuses formes, mais comprendre les types courants d’attaques de phishing peut vous aider à tenir les voleurs à l’écart. En voici quelques-uns :  

Phishing par e-mail

Un e-mail de phishing est un e-mail frauduleux qui semble provenir d’une entreprise ou d’une personne légitime. Il peut vous demander de fournir des informations personnelles ou de cliquer sur un lien conçu pour télécharger un malware. Par exemple, un e-mail prétendument envoyé par la Banque de France peut vous inviter à vous connecter à votre compte bancaire pour vérifier vos informations en raison d’une activité suspecte.

Heureusement, il existe des moyens de repérer une telle cyberattaque de phishing 

  • L’e-mail contient des fautes d’orthographe et de grammaire. Si l’e-mail est truffé de fautes d’orthographe et de grammaire, il s’agit probablement d’une escroquerie de phishing. Les entreprises n’envoient pas d’e-mails truffés d’erreurs. 
  • Une banque demande des informations personnelles. Les établissements financiers ne vous envoient pas d’e-mail pour vous demander des informations personnelles telles que votre code PIN, votre numéro de sécurité sociale ou votre numéro de compte bancaire. Si vous recevez un e-mail de ce type, supprimez-le et ne fournissez aucune information. 
  • L’URL ne correspond pas. Pour voir l’adresse e-mail de l’expéditeur, passez le curseur sur le nom de l’expéditeur ou le lien contenu dans l’e-mail. Si l’adresse de l’expéditeur ne correspond pas au nom affiché, c’est mauvais signe. Par exemple, si un e-mail semblant émaner de FedEx provient d’une adresse e-mail qui ne comprend pas le nom de l’entreprise ou si ce dernier est mal orthographié, il s’agit très probablement d’un e-mail de phishing. Pour vérifier l’URL d’un lien sur un téléphone mobile, appuyez sur le lien de manière prolongée. 
  • L’e-mail n’est pas personnalisé. Une entreprise avec laquelle vous faites affaire s’adressera à vous par votre nom. Un e-mail de phishing peut utiliser une formule de politesse générale telle que « Cher titulaire de compte ». 
  • Le message suscite un sentiment d’urgence. Les messages de phishing créent de fausses situations d’urgence pour vous inciter à agir sans réfléchir. Ils peuvent prétendre qu’un compte va être gelé si vous ne confirmez pas immédiatement vos données personnelles. Les demandes d’intervention d’urgence sont généralement des e-mails de phishing. Une entreprise légitime donne à ses clients un délai raisonnable pour répondre avant de clôturer un compte. 
  • Il provient d’un expéditeur inconnu. Envisagez de supprimer tout e-mail provenant d’un expéditeur que vous ne reconnaissez pas ou d’une entreprise auprès de laquelle vous ne vous fournissez pas. Soyez également prudent lorsque vous recevez un message d’une personne que vous connaissez, mais qui vous semble inhabituel ou suspect. 

Spear phishing

Si certains e-mails de phishing sont envoyés à un large public, les e-mails de spear phishing ciblent des personnes ou des entreprises spécifiques. Cela permet aux escrocs de faire des recherches sur le destinataire et de personnaliser le message pour le rendre plus crédible.

Voici quelques exemples d’e-mails de spear phishing :  

  • Piratage d’entreprise : les cybercriminels envoient des e-mails aux collaborateurs d’une entreprise pour trouver des failles dans le réseau de l’entreprise. Les e-mails peuvent sembler provenir d’une source fiable. Il suffit qu’une seule personne clique sur un lien pour qu’un ransomware soit téléchargé et infecte le réseau de l’entreprise.  
  • Note d’un supérieur : un employé reçoit un e-mail frauduleux qui semble provenir d’un dirigeant et lui demande de communiquer des données d’entreprise ou d’accélérer le paiement d’un fournisseur. 
  • Escroquerie aux réseaux sociaux : les cybercriminels peuvent utiliser les informations de votre compte de réseau social pour vous demander de l’argent ou des données. Par exemple, un grand-père peut recevoir un SMS provenant soi-disant de son petit-fils et lui demandant de l’argent de toute urgence. Mais lorsqu’il appelle pour vérifier, il découvre que son petit-fils est en sécurité à la maison. 

L’une des meilleures défenses contre le spear phishing consiste à contacter l’expéditeur présumé de l’e-mail pour vérifier la véracité de la demande. Appelez le collègue qui vous demande d’effectuer un virement ou connectez-vous à votre compte Amazon pour vérifier les messages. 

Clone phishing

Dans le cas de cette fraude hautement personnalisée, les fraudeurs reproduisent un e-mail légitime que vous avez peut-être déjà reçu et y ajoutent des pièces jointes ou des liens malveillants conduisant à un faux site Web. L’e-mail prétend être un nouvel envoi de l’original. Si vous cliquez sur un lien malveillant, vous risquez de donner accès à votre liste de contacts aux spammeurs, qui pourront alors envoyer de faux e-mails à vos contacts en se faisant passer pour vous.

Bien que les e-mails de clone phishing semblent authentiques, il existe des moyens de les repérer, notamment :  

  • Assurez un suivi direct. Consultez le site Web de la banque, du détaillant en ligne ou de l’entreprise pour voir si vous devez prendre des mesures. 
  • Examinez l’URL. Faites uniquement confiance aux sites Web commençant par HTTPS, jamais à ceux commençant par HTTP. 
  • Regardez s’il y a des fautes. Comme pour tout e-mail de phishing, soyez attentif aux fautes d’orthographe et de grammaire. 

Phishing vocal

Les escrocs recourent au vishing ou au phishing vocal pour tenter de vous persuader de fournir des données sensibles. Ils peuvent utiliser l’usurpation de l’identité de l’appelant pour faire croire que l’appel provient d’une entreprise locale ou même de votre propre numéro de téléphone. Les appels de vishing sont généralement effectués par des robocalls qui laissent un message vocal ou vous invitent à appuyer sur des boutons pour joindre un opérateur. L’objectif est de dérober des données de cartes de crédit ou des informations personnelles et financières en vue de les utiliser dans le cadre d’un vol d’identité.

Heureusement, certains signes trahissent ces attaques, notamment :  

  • L’appel provient d’une agence gouvernementale. Si l’appelant se fait passer pour une agence gouvernementale, il s’agit probablement d’une escroquerie. À moins que vous ne l’ayez demandé, des agences comme la direction générale des Finances publiques ne vous contacteront jamais par téléphone, SMS ou e-mail. 
  • Une action urgente est demandée. Les escrocs peuvent tenter de jouer sur la peur pour vous inciter à agir rapidement. La pression exercée pour que vous agissiez promptement est un signe qui ne trompe pas. 
  • Ils demandent des informations personnelles. Une demande d’informations personnelles par téléphone devrait déclencher un signal d’alarme. Parfois, l’appelant possède certaines de vos données, telles que les premiers chiffres de votre numéro de sécurité sociale. L’escroc essaie alors de vous faire croire que l’appel est légitime et vous demande de fournir des informations supplémentaires. 

Si vous souhaitez éviter les appels de vishing, il y a plusieurs choses que vous pouvez faire. Si vous ne reconnaissez pas le numéro de téléphone, ne décrochez pas. Laissez l’appel arriver sur la messagerie vocale, puis bloquez-le s’il n’est pas légitime. Utilisez une application de blocage des appels pour filtrer les appels arrivant sur votre téléphone mobile. Pour bloquer les appels sur une ligne fixe, renseignez-vous auprès de votre opérateur sur les services qu’il propose.

La politesse n’est pas de mise face à un cybercriminel. Si vous répondez à un appel de vishing, raccrochez dès que vous en prenez conscience. Ne répondez à aucune question, même par oui ou non. Votre voix pourrait être enregistrée et utilisée à des fins de vol d’identité. Si vous êtes invité à appuyer sur un bouton pour être retiré d’une liste d’appels, ne le faites pas. Vous recevrez encore plus d’appels.

Si vous recevez un message vocal et que vous n’êtes pas sûr de sa légitimité, appelez directement l’entreprise en utilisant le numéro de téléphone figurant sur son site Web. N’appelez pas le numéro indiqué dans le message vocal. 

SMiShing

Si vous avez déjà reçu un SMS prétendant provenir d’Amazon ou de FedEx, vous avez fait l’expérience du SMiShing. Les escrocs utilisent des messages de SMiShing (phishing par SMS) pour inciter les gens à appuyer des liens malveillants depuis leur smartphone.

Voici quelques exemples de SMS frauduleux courants : 

  • Gain d’un prix : si cela vous semble trop beau pour être vrai, c’est probablement le cas.  
  • Faux remboursements : une entreprise avec laquelle vous faites affaire créditera votre compte ou votre carte de crédit, elle ne vous enverra pas de SMS. 
  • Demande d’aide d’un proche : ces messages peuvent demander une caution ou une autre forme d’aide pour un parent qui se trouve à l’étranger. 
  • Messages provenant d’agences gouvernementales : supprimez toujours ces messages, car les administrations publiques ne prennent jamais contact par SMS. 
  • SMS provenant de sociétés telles qu’Amazon ou Apple : il s’agit des entreprises les plus souvent victimes d’une usurpation de leur identité, car la plupart des gens effectuent des transactions avec l’une d’entre elles, voire les deux. 

Si vous recevez un SMS de SMiShing, ne répondez pas car vous en recevrez encore plus. Au lieu de cela, supprimez le SMS et bloquez le numéro. 

Phishing par pop-up

On parle de phishing par pop-up lorsque vous êtes sur un site Web et qu’une fausse fenêtre pop-up apparaît. Celle-ci vous encourage à cliquer sur un lien ou à appeler un numéro pour résoudre le problème. Certaines d’entre elles se rechargent continuellement lorsque vous essayez de les fermer ou de bloquer votre navigateur.   Les escroqueries par pop-up les plus courantes sont les suivantes :  

  • Alerte d’ordinateur infecté : cette fenêtre pop-up frauduleuse tente de vous persuader de cliquer sur un lien pour supprimer les virus de votre ordinateur. Pour accroître encore le sentiment d’urgence, certaines incluent de faux comptes à rebours qui vous donnent quelques secondes pour cliquer sur un lien et installer un logiciel antivirus. En réalité, le lien installe un malware. Un logiciel antivirus légitime tel que McAfee Total Protection n’agit pas de la sorte. Au contraire, il protège votre vie connectée contre les malwares, le phishing et autres menaces. 
  • Renouvellement de la garantie AppleCare : cette fenêtre pop-up vous incite à appeler un faux numéro Apple afin de communiquer les données de votre carte de crédit dans le but de prolonger votre garantie Apple. 
  • Pop-up du fournisseur d’accès à Internet : cette fenêtre pop-up, qui semble provenir de votre fournisseur de services de messagerie, vous incite à fournir des données personnelles. 

Si vous voyez une fenêtre pop-up frauduleuse, ne cliquez pas sur dessus et n’essayez pas de cliquer sur le bouton de fermeture présent dans la fenêtre. Au lieu de cela, fermez votre navigateur. Si votre navigateur est bloqué, utilisez le gestionnaire des tâches pour le fermer sur un PC. Sur un Mac, cliquez sur l’icône Apple et choisissez Forcer à quitter. 

Que dois-je faire si je suis victime d’une attaque de phishing ?

Le fait d’être en ligne nous rend visibles aux yeux de beaucoup d’autres personnes, y compris des escrocs. Heureusement, si vous êtes victime d’une attaque de phishing, vous pouvez prendre certaines mesures afin de profiter à nouveau du monde numérique. Par exemple : 

  • Effectuez un signalement auprès du service Signal Spam. Rendez-vous sur le site https://www.signal-spam.fr/ pour signaler un message de phishing et suivez les instructions fournies. 
  • Modifiez vos mots de passe. Si vous avez fourni les mots de passe de votre compte bancaire ou d’un autre site Web, connectez-vous à votre compte et changez vos mots de passe et vos identifiants de connexion. Si vous utilisez ces mots de passe pour d’autres comptes, changez-les également. N’utilisez pas le même mot de passe pour plusieurs comptes. 
  • Appelez la société émettrice de la carte de crédit. Si vous avez communiqué votre numéro de carte de crédit, appelez la société émettrice pour l’en informer. Elle pourra vérifier si des dépenses frauduleuses ont été effectuées, bloquer votre carte actuelle et vous délivrer une nouvelle carte de crédit. 
  • Examinez votre rapport de crédit. Vous pouvez obtenir gratuitement des copies de votre rapport de crédit tous les 12 mois auprès des trois principales agences d’évaluation du crédit — Experian, TransUnion et Equifax — en vous rendant sur le site AnnualCreditReport.com. Vérifiez si de nouveaux comptes ont été ouverts à votre nom. 
  • Lancez des analyses sur vos appareils. Il est possible que vous ayez téléchargé un malware lors de l’attaque de phishing. Les logiciels antivirus, tels que ceux inclus dans McAfee Total Protection, peuvent analyser vos appareils en temps réel pour détecter toute activité malveillante et supprimer les virus présents sur vos appareils.  

Comment puis-je me protéger contre les tentatives de phishing ?

Vous méritez de mener votre vie en ligne en toute liberté. Mais cela peut nécessiter de prendre certaines mesures pour vous protéger contre les tentatives de phishing. Voici quelques solutions pour améliorer votre cybersécurité et tenir les escrocs à distance :

  • Ne cliquez pas sur les liens contenus dans les e-mails. Si vous recevez un e-mail de votre banque ou d’une entreprise comme Amazon, ouvrez une fenêtre de navigateur et accédez directement au site de l’entreprise. Ne cliquez pas sur un lien dans un e-mail. 
  • Utilisez des mots de passe uniques. Si vous utilisez le même mot de passe pour plusieurs comptes, un pirate informatique qui accède à l’un de vos comptes pourrait être en mesure d’infiltrer tous vos comptes. Utilisez des mots de passe différents pour chacun de vos comptes. Un gestionnaire de mots de passe tel que McAfee True Key peut vous aider à créer des mots de passe et à les enregistrer. 
  • Vérifiez la sécurité de votre navigateur. Les navigateurs Web tels que Google Chrome et Safari peuvent être paramétrés pour bloquer les sites Web frauduleux. Allez dans les paramètres de votre navigateur et ajustez le niveau de sécurité. 
  • Utilisez des filtres antispam. Tous les grands fournisseurs de services de messagerie disposent de filtres antispam qui transfèrent les e-mails suspects vers un dossier de courrier indésirable ou de spam. Lorsque des e-mails de phishing arrivent dans votre boîte de réception, marquez-les toujours comme spam afin que tous les e-mails ultérieurs provenant de cette source atterrissent dans le dossier de spam.  
  • Supprimez les e-mails suspects. Supprimez les e-mails provenant d’établissements financiers dont l’objet comporte la mention « urgent », par exemple. 
  • Utilisez une protection antivirus. Tous vos appareils connectés à Internet devraient être dotés d’une protection antivirus telle que McAfee Total Protection. Configurez-la pour qu’elle soit mise à jour automatiquement afin de maintenir votre couverture à jour. 
  • N’envoyez pas d’informations par e-mail. Les banques et les sociétés émettrices de cartes de crédit n’envoient jamais de demandes de données personnelles par e-mail. Si vous souhaitez confirmer des informations auprès d’un établissement financier, contactez-le directement à l’aide des coordonnées figurant sur son site Web, par exemple un numéro de téléphone. 
  • Surveillez vos publications sur les réseaux sociaux. Faites attention à ce que vous publiez sur les réseaux sociaux. Les questionnaires dans lesquels vous mentionnez des détails de votre vie privée, comme le nom de votre animal de compagnie, l’école que vous avez fréquentée, etc. peuvent fournir aux pirates informatiques une mine d’informations. Assurez-vous que seuls vos amis peuvent voir vos publications. 

Naviguer en ligne en toute sécurité

Les tentatives de phishing ne doivent pas vous empêcher de profiter d’Internet. Les services de protection contre le vol d’identité de McAfee y compris les logiciels antivirus, vous permettent de profiter de votre vie numérique tout en restant à l’abri des escrocs et des voleurs d’identité.

Grâce à la surveillance 24 h/24 et 7 j/7 de vos données sensibles, y compris jusqu’à 60 types uniques d’informations personnelles, McAfee vous offre une protection proactive. Cela signifie que vous êtes alerté 10 mois plus tôt qu’en cas d’utilisation de services concurrents, de sorte que vous pouvez agir avant que vos données ne soient utilisées à des fins illégales. Nous proposons également une couverture contre le vol d’identité à hauteur d’un million de dollars et un service de restauration pratique en cas de violation de données.

Mais surtout, vous pouvez vous procurer un forfait adapté à vos besoins, incluant des fonctions de protection antivirus, de surveillance contre le vol d’identité et de couverture de plusieurs appareils. Nous rendons la navigation sur Internet plus sûre.