Qu’est-ce que c’est et comment s’en protéger ?
Le phishing est une technique de cybercriminalité. La France est le second pays au monde le plus visé par ce type d’attaque. Qu’est-ce que le phishing ? Comment vous en protéger ? Découvrez toutes les ficelles de cette arnaque en ligne et suivez nos conseils anti phishing pour éviter de tomber dans ses filets.
Principe du phishing
Le principe du phishing est de vous mettre suffisamment en confiance, ou dans une situation d’urgence, pour vous inciter à réaliser une action. Cette action à priori simple ou banale est en fait ce que l’on peut comparer à un cheval de Troie. L’objectif est d’accéder à vos informations confidentielles, de vous soutirer de l’argent ou encore d’introduire un malware dans votre réseau informatique.
Les différents types de phishing
Le phishing ou hameçonnage en français est une arnaque visant principalement les emails professionnels ou personnels.
Spam phishing
Les spams ou pourriels sont de simples courriers électroniques publicitaires non désirés. Souvent, vous ne savez pas pourquoi vous les recevez. Il peut également s’agir de spam phishing, des tentatives d’escroquerie par mail. Des campagnes d’hameçonnage sont souvent automatisées et envoyées à grande échelle à l’aide de la technologie de l’intelligence artificielle par exemple.
Phishing ciblé
Le phishing ciblé, ou spear phishing en anglais, est plus dangereux car il vise une entreprise en particulier ou une personne bien identifiée, comme le dirigeant de l’entreprise. Les pirates ou hackers vont prendre le temps de se renseigner sur vos habitudes, de collecter des données pertinentes pour mieux capter votre attention ou celle de vos collaborateurs.
L’email : seule source de phishing ?
L’email n’est pas la seule source de phishing. En effet, les techniques de piratage informatique se développent et se diversifient. En voici quelques exemples :
- Appels téléphoniques : vous recevez un appel d’une personne visiblement dans une situation critique, qui vous demande de la rappeler à un certain numéro.
- SMS : un message vous indique que votre colis est arrivé à destination et qu’il suffit de cliquer sur le lien pour le contrôler.
- Réseaux sociaux : vous recevez un message sur LinkedIn, Facebook ou Twitter vous invitant à cliquer sur un lien pour vous reconnecter.
Peu importe le moyen, l’objectif reste le même : vous inciter à transmettre vos coordonnées bancaires, cliquer sur un lien malveillant ou à ouvrir un document de type PDF par exemple, qui téléchargera un virus sur votre appareil.
Comment se protéger du phishing ?
Pour se protéger du phishing, il est essentiel de comprendre les rouages de ce piratage informatique. Si un message ou un mail vous semble douteux, ne cliquez pas sur les liens et ne téléchargez pas les pièces jointes.
Les bonnes pratiques pour éviter le phishing
Pour aller plus loin, nous vous proposons de suivre ces bonnes pratiques pour éviter de tomber dans les filets du phishing.
- Changer ses mots de passe régulièrement et ne pas utiliser les mêmes mots de passe pour différentes connexions ;
- Se méfier des demandes urgentes ou qui sortent de l’ordinaire ;
- Vérifier les adresses mail expéditrices ;
- Ne jamais communiquer d’informations confidentielles par mail ;
- Survoler le lien sans cliquer dessus pour afficher l’URL de destination du lien ;
- Contacter directement l’organisme ou l’entreprise en tapant directement son adresse dans votre barre de recherche ;
- Contrôler que le site internet soit sécurisé et commence par HTTPS et non HTTP.
Vos salariés doivent être sensibilisés aux risques de l’hameçonnage. En cas de doute sur un email reçu, leur premier réflexe doit être de prévenir la DSI.
Que faire si vous êtes victime de phishing ?
Que faire en cas de phishing ? Si vous pensez avoir été victime d’un phishing, ou d’une tentative d’escroquerie par hameçonnage, voici une procédure à suivre :
- Faire opposition immédiatement : si des informations bancaires ont été transmises, ou si des débits frauduleux sont constatés, faites opposition immédiatement auprès de votre organisme financier ou bancaire ;
- Changer vos mots de passe : les mots de passe sont secret et ne doivent pas non plus être conservés sur un post-it collé sur l’écran de l’ordinateur ;
- Conserver les preuves : le premier réflexe est souvent de supprimer l’email frauduleux, pourtant le message d’hameçonnage reçu constitue la preuve de la fraude ;
- Signaler le message frauduleux ou le site douteux à Signal Spam : associé à la CNIL, Signal Spam mène des actions de lutte contre le piratage informatique ;
- Déposer plainte : vous pouvez déposer une plainte auprès du commissariat de police dont vous dépendez en fournissant toutes les preuves en votre possession. Le signalement sera traité par le service de police judiciaire spécialisé dans ces questions : office central de lutte contre la criminalité et de la communication (OCLCTIC).
Comme nous l’avons vu, la définition du phishing est assez complexe parce qu’elle peut prendre plusieurs formes. Les techniques d’hameçonnage évoluent et se diversifient. Soyez toujours prudent dans vos échanges en ligne et protégez votre SI. Si vous avez un doute, contactez directement l’entreprise ou l’administration concernée.
Pour toute question, n’hésitez pas à contactez le service cybersécurité de Metsys : [email protected]
