Le phishing est une technique de cybercriminalité qui utilise la fraude, la tromperie ou la ruse pour inciter un internaute à révéler des informations personnelles sensibles. Pour apporter plus d'informations sur le sujet, cette fiche propose de découvrir ce qu'est exactement le phishing, comment il fonctionne et les conseils à suivre pour s'en protéger.
Comprendre ce qu'est l'hameçonnage sur Internet
"Phishing" est la contraction des mots anglais "fishing" qui signifie "fishing" et "phreaking" qui signifie "hacking telephone lines". Sur Internet, il s'agit d'une technique utilisée par les escrocs pour obtenir des renseignements personnels afin de perpétrer une usurpation d'identité.
Il prend généralement la forme d'un email invitant la victime, souvent pour des raisons de sécurité, à se connecter sur un site bancaire, un site marchand, voire un compte de paiement en ligne. Mais en réalité, le lien renvoie la personne dupée vers un site pirate. Aussi connu sous le nom de "hameçonnage". Alors que le courrier électronique est le vecteur le plus courant pour les hameçonneurs, les médias sociaux et les messages texte sont également utilisés pour les attaques de phishing.
Il faut savoir que le phishing est souvent utilisé par les cybercriminels pour voler des données personnelles ou de l'argent qu'ils peuvent revendre sur le marché noir. Par conséquent, les cibles les plus courantes pour tromper les victimes sont les fournisseurs de services Internet, les services bancaires en ligne, les sites d'enchères et le système de paiement PayPal.
Comment fonctionne le phishing
Comme évoqué plus haut, la technique du phishing consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance, afin d'extraire des informations personnelles sensibles. Ces informations personnelles sont notamment un mot de passe, numéro ou photocopie de pièce d'identité, numéro de carte bancaire, date de naissance, etc. Pour ce faire, les hameçonneurs utilisent plusieurs types de vecteurs :
– Hameçonnage par email
De loin, la méthode la plus courante de ce vecteur consiste à lancer leur appât par e-mails. Ces e-mails contiennent souvent des liens vers des sites Web frauduleux ou même des pièces jointes contenant des logiciels malveillants.
– Hameçonnage par site Web
Les hameçonneurs font une copie exacte d'un site internet avec l'idée de faire croire à la victime qu'elle se trouve sur le site officiel du service ou du prestataire où elle pensait se connecter. La victime saisira ainsi ses données et codes personnels qui seront récupérés par l'arnaqueur ayant créé le faux site. En accédant aux données personnelles de la victime, le phisher peut voler tout ce que la victime a sur ce site.
– Vishing pour le phishing vocal
Comme son nom l'indique, ce vecteur est la version audio du phishing sur Internet. La personne malveillante essaie de convaincre ses victimes par téléphone de divulguer des informations personnelles qu'elles peuvent ensuite utiliser pour le vol d'identité. De nombreux appels automatisés sont des tentatives de vishing.
– Hameçonnage via les réseaux sociaux
Certains attaquants parviennent à pirater des comptes de réseaux sociaux et obligent ainsi les gens à envoyer des liens frauduleux à leurs amis. D'autres créent de faux profils et hameçonnent les autres via de fausses entités.
– Smishing ou phishing par SMS
La personne visée par le smishing reçoit un SMS lui demandant de cliquer sur un lien ou de télécharger une application. Mais en réalité, elle télécharge des logiciels malveillants sur son téléphone. Une fois téléchargé, ce malware détourne vos informations personnelles et les envoie à l'escroc.
Comment se protéger du phishing?
La meilleure façon de vous protéger contre le phishing est de prendre des mesures préventives. Pour cela, il s'agit d'éviter de communiquer des informations sensibles par téléphone ou messagerie. En effet, aucune entité ou société commerciale sérieuse ne demandera à ses clients leurs coordonnées bancaires ou leurs mots de passe par téléphone ou par email.
Aussi, avant de cliquer sur un lien douteux, il est conseillé de passer le curseur de la souris sur ce lien (sans cliquer), afin de faire apparaître l'adresse vers laquelle il pointe réellement et de vérifier sa vraisemblance. N'hésitez pas à vous rendre directement sur le site de l'organisme en question et à comparer son lien avec le lien affiché dans le navigateur. Dans le cas où les deux liens ne sont pas exactement les mêmes, le premier est sans aucun doute un site frauduleux.
Enfin, toujours pour éviter les risques de piratage et de phishing, il est recommandé d'utiliser des mots de passe différents et complexes pour chaque site et application. En effet, cela évite que le vol d'un des mots de passe ne compromette tous les autres comptes personnels.