SMS ou mail frauduleux: qu'est-ce que le hameçonnage et comment s'en prémunir?
Arnaque. - Pixabay
"Envoyez-moi un message maintenant sur l'application Signal (...) Merci. Emmanuel Macron". Le 14 mars dernier, l'Élysée a mis en garde les internautes contre des messages frauduleux, prétendument signés par le président. "Vous avez déjà reçu ce type de message? Il s'agit de hameçonnage, une arnaque. Beaucoup circulent en ce moment", avait indiqué l'Élysée.
Aussi connu sous le nom de phishing, cette pratique malveillante est très utilisée par les cybercriminels. Selon le dernier rapport d'activité de Cybermalveillance.gouv.fr, elle était "la menace prédominante tout public confondu" en 2024, comme en 2023.
Mais en quoi cela consiste et comment s'en prémunir?
· Qu'est-ce que le hameçonnage?
Le hameçonnage ou phishing est une technique utilisée par les cybercriminels pour récupérer des informations personnelles et/ou bancaires sur la victime. Pour cela, ils envoient un mail ou un SMS, dans lequel ils se font passer pour un tiers de confiance (opérateur téléphonique, banque, service de livraison..).
"Le phishing, c'est le meilleur moyen pour obtenir des informations personnelles facilement", indique Carine Cartaud, directrice fraude et identité chez LexisNexis Risk Solutions, auprès de Tech&Co.
Ces SMS ou mails frauduleux contiennent en effet un lien, sur lequel la victime est incitée à cliquer. Elle est alors renvoyée sur une page l'invitant à renseigner des informations personnelles et/ou bancaires, permettant à l'escroc de les collecter.
Le phishing est en outre "à l'origine de nombreuses autres cybermallveillances", notamment quand il est utilisé pour récupérer des informations sur la victime, rappelle Cybermalveilance.gouv.fr. Un cybercriminel pourra par exemple utiliser ces informations obtenues pour une arnaque au faux conseiller bancaire.
"Le fraudeur a déjà collecté des informations sensibles sur votre identité. Ensuite, imaginons que c'est un compte bancaire. Le fraudeur va se connecter sur ce compte (...) Donc, il va pouvoir voir quelles sont les opérations que vous réalisez et il va pouvoir préparer une attaque ou de l'ingénierie sociale (...) Il va vous appeler, souvent en se faisant passer pour votre conseiller", détaille Carine Cartaud auprès de Tech&Co.
· Comment détecter un mail ou un SMS de hameçonnage?
Si ces arnaques sont de mieux en mieux réalisées, elles peuvent tout de même être repérées. Comme le souligne Cybermalveillance.gouv.fr, plusieurs éléments peuvent vous mettre la puce à l'oreille, à commencer par un objet d'email trop alléchant (remboursement...) ou alarmiste (alerte de sécurité...) qui transmet un sentiment d'urgence.
Il faut également prêter attention à l'orthographe et à la grammaire, les fautes étant un signe qu'il s'agit d'un mail frauduleux, tout comme la présence d'images et de logos de mauvaise qualité (flou, déformé, pixellisé...).
Le fait qu'un organisme demande de transmettre des informations confidentielles est aussi suspect. "Par principe, aucune société n'est censée nous demander un identifiant ou un mot de passe", rappelle Carine Cartaud.
En cas de doute, vous pouvez aussi vérifier l'adresse mail de l'expéditeur en cliquant sur son nom, pour voir si elle correspond bien à l'entreprise ou à l'organisme en question. De même, le fait de recevoir un mail d'un service ou d'une société dont vous n'êtes pas client doit vous inciter à la méfiance. Il est par ailleurs conseillé, avant de cliquer sur un lien douteux, de vérifier vers quelle adresse il renvoie en positionnant le curseur de la souris dessus.
Il vaut d'ailleurs mieux se rendre directement sur le site concerné et se connecter pour vérifier qu'il ne s'agit pas d'une arnaque plutôt que de cliquer sur le lien. De même, dans le cas d'un message, vous pouvez contacter directement l'organisme concerné.
Cybermalveillance.gouv.fr conseille aussi de signaler un mail de hameçonnage sur la plateforme Signal Spam et les messages suspects au numéro gratuit 33700.
· Que faire si vous êtes victime?
Si vous vous rendez compte que vous avez victime de hameçonnage et que vous avez communiqué des informations bancaires, la première chose à faire est de faire opposition auprès de sa banque, comme le recommande Cybermalveillance.gouv.fr. Le site préconise également de conserver les preuves, à commencer par le message ou le mail de phishing reçu.
"Il faut porter plainte", rappelle par ailleurs Carine Carthaud, surtout si vous constatez des débits frauduleux sur vos comptes bancaires ou que vos informations personelles sont utilisées pour ursuper votre identité. Cette plainte peut être déposée au commissariat de police ou à la brigade de gendarmerie dont vous dépendez.
Enfin, dans le cas où vous avez communiqué un mot de passe utilisé pour un site, il est recommandé de changer immédiatement ce dernier sur tous les sites sur lesquels vous l'utilisez.
Les plus lus
18 septembre: 250 rassemblements déclarés dans toute la France, la mobilisation pourrait avoisiner les 800.000 manifestants
Gaza: la France dénonce la "campagne destructrice" menée par Israël "qui n'a plus de logique militaire"
Mort de Robert Redford: 10 rôles cultes qui ont marqué la carrière de ce géant d'Hollywood
Un butin à 600.000 euros: le Muséum d'Histoire naturelle cambriolé à Paris, plusieurs pépites d'or dérobées
Tyler Robinson inculpé pour l'assassinat de Charlie Kirk, le procureur demande la peine capitale