Qu’est-ce qu’une arnaque par hameçonnage (phishing) et comment s’en protéger ?
Hameçonnage, phishing, c’est quoi au juste ?
Le phishing, ou hameçonnage en français, est un type d’arnaque qui a proliféré depuis l’avènement d’Internet. Il s’agit de techniques frauduleuses ou de manipulations qui visent à obtenir des informations confidentielles ou de l’argent. Typiquement, les arnaqueurs essaient d’obtenir des identifiants/mots de passe, des numéros de compte, ou toute information permettant d’accéder à certaines plateformes.
Les tentatives de phishing se basent souvent sur un sentiment d’urgence. On vous fait croire que vous avez des factures en retard, que vous bénéficiez d’une prime exceptionnelle, ou encore que vos services vont être coupés incessamment si vous ne suivez pas les instructions.
Plusieurs techniques sont utilisées. Les tentatives d’hameçonnage peuvent s’appuyer sur de faux sites qui imitent des plateformes légitimes, de faux emails imitant l’apparence de courriers officiels, ou encore de textos qui vous invitent à cliquer sur un lien. Leur point commun, c’est qu’ils endorment la vigilance des victimes, qui croient avoir affaire à un organisme légitime.
Si vous cliquez sur le lien qu’on vous envoie, ou si vous répondez à la demande d’information reçue par message, les arnaqueurs utiliseront vos informations pour dérober vos fonds, vous inciter à effectuer un paiement, ou encore transférer vos cryptomonnaies. Lorsque la victime se rend compte de ce qu’il s’est passé, il est souvent trop tard.
À lire également – Investir son argent en 2024 : Les erreurs à éviter
Exemples courants d’arnaques de type « phishing »
On vient de le voir, les arnaqueurs peuvent utiliser divers supports pour tromper leurs victimes. Parmi les plus courants, on trouve les faux emails : ceux-ci ressemblent à des messages légitimes, le but étant de passer inaperçus. Si vous cliquez sur les liens, il est par ailleurs possible que vous soyez dirigés vers un site en apparence légitime. Il faut donc être très prudent.
Il en va de même pour les SMS qui vous incitent à vous rendre sur un site et procéder à un paiement. Parfois, on vous demande aussi simplement de communiquer votre mot de passe ou votre code de récupération, afin d’accéder directement à vos comptes. Quelle que soit la méthode, le but est unique : obtenir des données confidentielles, qui doivent habituellement rester secrètes.
Voici quelques exemples courants d’arnaques de type hameçonnage, avec les méthodes utilisées :
1. Les fausses communications d’institutions officielles
Vous recevez un email, un texto, voire un appel téléphonique qui semble provenir de votre banque, de la caisse d’allocation familiale (CAF) ou encore du service des impôts. Le message est souvent urgent et vous invite à payer des pénalités de retard ou à vous connecter sous peine de voir l’accès à vos services supprimés.
Si vous cliquez sur les liens présentés, ou si vous vous rendez sur l’URL qu’on vous communique, vous êtes alors renvoyés vers un site de paiement, sur lequel vous devrez vous acquitter d’une somme. On peut aussi directement vous demander le mot de passe d’accès à votre compte bancaire, ou votre code de récupération pour divers autres comptes.
2. Les fausses factures et amendes
Les faux rappels de facture sont également courants. Vous recevez une lettre ou un email de la part de votre fournisseur d’électricité, qui vous invite à payer une facture en retard sous peine de connaître une coupure de courant. Ou bien l’on vous signale une amende pour excès de vitesse impayée, qui sera majorée si vous n’agissez pas.
Dans ce cas, les communications imitent – parfois très bien – des communications officielles, et jouent sur votre peur pour vous faire débourser de l’argent.
3. Les fausses plateformes d’échange ou comptes crypto
Dans le secteur de l’investissement et des monnaies numériques, les arnaqueurs jouent souvent sur la confusion de leurs victimes. De faux sites sont ainsi mis en place pour obtenir vos identifiants de connexion, ou encore la phrase de récupération de votre portefeuille de cryptomonnaies.
Le cas courant, c’est un message promotionnel par lequel on vous promet de gagner de l’argent, de participer à un airdrop, ou de multiplier vos gains. Sur les réseaux sociaux, dont X en particulier, ces faux messages abondent et imitent souvent la communication d’entreprises légitimes.
4. Les faux colis en attente/taxes de la douane
Une arnaque courante consiste aussi à vous faire croire qu’un de vos colis est bloqué à la frontière, car vous n’avez pas payé les frais de douane. Les arnaqueurs vous invitent ainsi à vous connecter sur un site pour « débloquer » votre colis par un versement. Dans la réalité, ce colis n’existe bien sûr pas, mais il peut être confondu avec une de vos commandes bien réelles.
Pour aller plus loin – Investir son argent en 2024 : une bonne idée ?
Comment repérer les tentatives de phishing ?
Le point commun de toutes ces tentatives de phishing, c’est qu’elles n’utilisent pas le site ou la plateforme officielle qu’elles prétendent être. Un bon moyen de se prémunir de ces tentatives d’escroquerie est donc de vérifier l’URL sur laquelle on se trouve. Si celle-ci diffère du site officiel – même d’une lettre ! – il faut faire preuve de la plus grande méfiance.
Il faut aussi savoir que votre banque ou toute institution liée à l’État ne vous demandera jamais des options de paiement par email. Si l’on vous demande votre mot de passe ou votre numéro de carte bancaire, c’est donc un signe très suspect. Il en va de même pour les plateformes d’échange ou les sociétés liées aux cryptomonnaies, qui ne vous demanderont jamais comment accéder à votre compte.
Soyez aussi prudents lorsque vous recevez un message vous menaçant de couper l’aspect à vos services – a fortiori si vous payez vos factures à l’heure ! Au moindre doute, il est judicieux de contacter les services en question par téléphone : ils seront à même de vous informer si la requête est légitime, ou s’il s’agit d’une tentative de phishing.
Enfin, on ne rappellera jamais assez qu’il faut éviter de cliquer sur tout lien provenant d’une adresse email ou d’un numéro inconnu. Si vous souhaitez vous connecter à votre compte, utilisez le site officiel. Si vous n’êtes pas certain d’être au bon endroit, n’envoyez pas d’argent.
À lire sur le même sujet – Cryptomonnaies : attention à ces 5 arnaques courantes
J’ai été victime de phishing, que faire ?
Si vous avez été victime de hameçonnage, la première chose à faire sera de bloquer l’accès à votre compte. Changez vos mots de passe, activez l’authentification en deux étapes (2FA) et signalez l’arnaque à votre banque ou à la plateforme que vous utilisez. Si besoin, faites opposition sur vos moyens de paiement.
Ensuite, vous pouvez signaler l’arnaque sur plusieurs sites :
- https://www.internet-signalement.gouv.fr : un site du gouvernement qui permet de signaler les contenus illicites
- https://www.signal-spam.fr/ : une association à but non lucratif qui rassemble les signalements pour les transmettre aux autorités
- https://phishing-initiative.eu/ : un service centré sur le phishing, qui permet de transmettre les URL frauduleuses afin qu’elles soient prises en compte par les navigateurs
Nous vous conseillons de conserver les preuves de la tentative d’arnaque (emails, SMS…) pour pouvoir ensuite déposer plainte auprès des forces de l’ordre locales. Ce sont ces dernières qui pourront rassembler les dossiers s’il existe plusieurs victimes, et enquêter sur les arnaqueurs.
Conclusion : se protéger des arnaques de type phishing
On ne le répétera jamais assez : aucune entité légitime ne vous demandera votre mot de passe d’accès à un compte ou vos codes de récupération. Soyez donc vigilants, et vérifiez toujours l’URL sur laquelle vous vous trouvez. Dans le doute, il est toujours conseillé de prendre le temps de vérifier les informations qu’on a sous les yeux. Les arnaqueurs jouent souvent sur un sentiment d’urgence, marquer une pause est donc déjà en soi un moyen de prendre du recul.