Le phishing : comment l’identifier et s’en protéger ?

 

13/03/19

Temps de lecture : 6 min

 

Le phishing : comment l’identifier et s’en protéger ?

 

 

D’après la 4e édition du baromètre de la cybersécurité des entreprises du CESIN (janvier 2019), le phishing reste la cyber attaque la plus constatée par les entreprises françaises en 2018. Mais qu’est-ce que le phishing, quelles sont ses conséquences et comment s’en protéger ? Snaac Assurances fait le point sur cette technique frauduleuse qui touche tant les particuliers que les entreprises.

 

 

Le phishing, définition

 

Le phishing, ou hameçonnage en français, est une des techniques les plus utilisées par les hackers pour soutirer des informations personnelles ou professionnelles à leurs victimes. En se faisant passer pour une institution, un organisme financier ou encore en usurpant l’identité d’un tiers de confiance, le hacker entre ainsi en possession de données sensibles dont il pourra ensuite user à sa guise.

 

Le phishing se déroule en deux étapes : tout d’abord, la victime reçoit un email, un sms ou un appel frauduleux l’invitant à cliquer sur un lien ou à se connecter sur un site ressemblant trait pour trait au site original d’une institution. Seulement, ce site n’est qu’une copie, et une fois les informations de connexion entrées, il est trop tard : le hacker a accès à vos données personnelles.

 

Voici un exemple concret : vous recevez un email de votre fournisseur d’énergie vous demandant de réguler votre facture d’électricité au plus vite, sous peine de subir une coupure de courant. Vous cliquez sur le lien présent dans l’email, qui vous renvoie vers le soi-disant site internet de votre fournisseur, et vous tapez vos coordonnées bancaires pour payer votre facture. Le piège s’est refermé, vous venez de communiquer vos données bancaires au hacker sans même vous en rendre compte.

 

Quelles sont les données les plus convoitées par les hackers usant du phishing ? Principalement celles-ci :
  • Vos coordonnées bancaires ou celles de votre entreprise
  • Vos informations de connexion à différents comptes sur internet
  • Vos mots de passe
Si le phishing se fait majoritairement via email, il n’est plus rare de voir de telles arnaques par SMS, appel ou même via les réseaux sociaux ! Et ne vous y trompez pas : si quelques pirates informatiques utilisent le phishing pour subtiliser vos coordonnées bancaires et faire des achats grâce à votre n° de carte, la plupart vont beaucoup plus loin et revendent ces données à prix d’or sur le dark web. Dernièrement, le magazine britannique The Register a révélé qu’un fichier de 617 millions de données personnelles volées sur différents sites internet avait été mis en vente pour la modique somme de… 20 000 dollars.

 

 

Comment reconnaître une tentative de phishing ?

 

Les arnaques via phishing ont toujours plus ou moins le même mode opératoire : il est alors plus facile de distinguer un mail véritable d’un mail frauduleux. Pour savoir si un email reçu est fiable, prenez garde aux points suivants :
  • L’orthographe et la syntaxe du mail : de nombreuses fautes d’orthographe ou une syntaxe approximative doivent vous mettre la puce à l’oreille !
  • L’adresse email de l’expéditeur : en général, les adresses email utilisées pour envoyer des mails frauduleux n’ont rien à voir avec les adresses des organismes officiels pour lesquels les hackers se font passer. Vérifiez donc la provenance de vos mails !
  • L’URL du site en question : sans cliquer sur le lien, passez votre souris sur le lien contenu dans l’email. Il s’affichera alors au survol, et vous pourrez ainsi constater s’il s’agit du vrai site web ou d’une copie frauduleuse.

 

Dans le doute, tapez vous-même l’adresse URL du site concerné dans votre navigateur, sans passer par le lien fourni dans l’email. Dans le cas du fournisseur d’énergie, vous pourrez alors accéder à votre compte client sans risque et consulter vos notifications si nécessaire. Vous pouvez également contacter directement l’organisme pour confirmer ou infirmer le message reçu de leur part.

 

 

Quelques exemples de phishing

 

Voici quelques exemples des cas de phishing les plus courants :
  • L’appel au don : se faisant passer pour un tiers de confiance, le hacker demande à sa victime de lui verser de l’argent pour une cause quelconque (maladie, découvert, association caritative…) et subtilise ses coordonnées bancaires.
  • Les faux cadeaux : un téléphone, une tablette ou tout autre gain attire l’attention du destinataire. En cliquant sur le lien pour récupérer son dû, il installe sans y prendre garde un logiciel malveillant sur son ordinateur.
  • L’usurpation d’identité de marque : en se faisant passer pour une société, le hacker récupère les informations de connexion de sa victime, comme son adresse email, son mot de passe ou même ses coordonnées bancaires

 

 

Que faire pour se protéger du phishing ?

 

Si le phishing concerne en grande partie les particuliers, les entreprises ne sont pas épargnées et son impact peut être désastreux : usurpation de votre identité de marque, vol de données de vos clients s’accompagnant de pertes financières et de dédommagements… Il est donc indispensable de former ses collaborateurs de savoir comment bien réagir en cas de phishing.

 

Hormis les précautions d’usage à prendre, citées plus haut, voici la marche à suivre en cas de phishing :
  • Changez immédiatement tous vos mots de passe, et choisissez-en des sécurisés
  • Faites opposition à vos moyens de paiement auprès de votre banque si vous avez communiqué vos coordonnées bancaires
  • Déposez plainte : l’escroquerie, la collecte de données personnelles par un moyen frauduleux, la contrefaçon ou l’usurpation d’identité sont des délits, et sont punies par la loi.

 

Pour éviter une nouvelle attaque, vous pouvez également signaler l’adresse email de l’expéditeur pour spam, ou signaler le site web frauduleux pour phishing.

 

 

En cas de vol de vos données personnelles suite à une attaque de phishing, Snaac Assurances vous accompagne : frais de restitution des données, communication de crise, dommages aux tiers… Contactez nos experts cybersécurité pour en savoir plus sur la cyber assurance !