phishing hameçonnage


Connaissez-vous le phishing ?

  • N’ouvrez aucun message dont vous ne connaissez pas l’expéditeur ou dont l’adresse vous paraît étrange, avant d’en avoir vérifié la véracité.
  • Méfiez-vous des demandes urgentes ou confidentielles.
  • Avant de cliquer sur un lien hypertexte douteux, vérifiez l’adresse vers laquelle il pointe réellement, en positionnant le curseur de la souris sur ce lien.
  • Vérifiez avec attention l’adresse du site qui s’affiche dans votre navigateur. Au moindre doute, fermez immédiatement la page correspondante sans fournir aucune information.
  • Ne communiquez jamais d’informations sensibles par messagerie ou téléphone. Contactez directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu si vous avez le moindre doute.
  • Soyez attentif aux formulations employées.
  • Faites attention aux pièces jointes et liens contenus dans les messages.
  • Définissez des mots de passe spécifiques pour chaque site et application. Pensez aux gestionnaires de mots de passe pour générer et stocker de manière sécurisée vos différents mots de passe.
  • Si le site vous le permet, activez l’authentification mutifactorielle pour sécuriser vos accès.
hameconnage


L’hameçonnage est une technique utilisée par les fraudeurs pour vous soutirer des informations confidentielles
, mots de passe, identifiants, voire coordonnées bancaires. On parle de « phishing » lorsque la démarche est réalisée par emails et de « smishing » lorsqu’elle utilise le SMS.

Il s’agit d’une escroquerie courante : le hacker vous envoie un message en se faisant passer pour un interlocuteur en qui vous pouvez avoir confiance (votre banque, votre assureur, votre fournisseur internet, d'électricité, votre organisme de sécurité sociale, le Trésor Public, mais aussi un proche, un partenaire professionnel...) afin de vous amener à saisir des données confidentielles ou à vous rendre sur un site malveillant. Il utilise alors les données collectées pour pirater votre compte bancaire, installer un logiciel malveillant sur votre ordinateur, voire usurper votre identité.

Difficile d’anticiper toutes les situations et de les lister de manière exhaustive. Mais certains signes doivent vous mettre la puce à l’oreille. Vous trouverez ci-dessous des pistes et des exemples pour vous aider à adopter les bons réflexes.

1. Identité de l’expéditeur

Certaines fraudes sont initiées à la simple ouverture d’un message, email ou SMS. Or, les adresses émettrices sont souvent une première indication de tentative d’escroquerie.

Si vous ne connaissez pas l’expéditeur ou que l’adresse vous paraît étrange, ne cédez pas à la curiosité, n’ouvrez pas le message.

La plupart des messageries permettent de visualiser le contenu d’un message (au moins les premières lignes) sans l’ouvrir : choisissez l’option « Aperçu du message » dans les paramètres de votre messagerie.

En cas de doute, placez le message dans les SPAMS ou supprimez-le.

vérifier expediteur email

Mais les hackers ont aussi recours à des adresses a priori rassurantes car très similaires à celles de vos interlocuteurs de confiance. Vérifiez que le nom de domaine de l’expéditeur correspond à celui du site officiel.

Lisez bien tous les caractères : il suffit d’un caractère, ajouté ou supprimé, ce n’est pas toujours visible à première lecture.

Si l’adresse n’est pas immédiatement lisible, il suffit de faire un clic droit avec votre souris, sur la zone d’adresse pour que l’adresse complète s’affiche.

Si l’adresse de l’expéditeur ne vous a pas inquiété, pensez à vérifier les coordonnées indiquées dans le message.

Aucunes coordonnées ? Même en toute fin de mail ? Aucun organisme ou société sérieuse, a fortiori reconnu ou réglementé, ne se cachera pour vous contacter. Un email émis par votre banque ou votre assureur contiendra toujours le nom de l’établissement et son logo, mais aussi ses mentions légales (dont l’adresse de son siège social). Même les sociétés dont l’activité passe exclusivement par internet ont une adresse physique.

Les coordonnées ne correspondent pas à celles que vous connaissez ? Vérifiez sur son site habituel si cette adresse lui est bien attribuée.

Le message indique une adresse à l’étranger ? Redoublez de prudence, surtout si l’expéditeur vous est inconnu. Il s’agit vraisemblablement d’une tentative de phishing.

Vous ne reconnaissez pas un email envoyé au nom d’Allianz ?
Vérifiez avant tout l'adresse email dont il provient. Chez Allianz, nous utilisons principalement le nom de domaine @allianz.fr et de sous-domaine @agents.allianz.fr (attention au nombre de « l » et au « z ») et les adresses suivantes :

En cas de doute persistant, posez-vous toutes les questions avant de suivre les instructions contenues dans le message. Rapprochez-vous de votre interlocuteur Allianz habituel, puis faites suivre ce message à l’adresse [email protected].
A retenir
N’ouvrez jamais un message dont vous ne connaissez pas l’expéditeur ou dont l’adresse émettrice vous semble douteuse.
Si les coordonnées indiquées dans le corps du message vous paraissent suspectes, c’est qu’elles le sont sans doute. Ne répondez jamais à un message avant d’avoir confirmé que son émetteur est « sain ».
2. Informations confidentielles
information confidentielle
On vous demande de saisir votre numéro de carte bancaire pour confirmer ou annuler une commande dont vous n’avez pas connaissance ? Si vous n'avez pas passé commande, quelle qu’elle soit, il n'y a aucune raison pour qu’une enseigne vous demande de la confirmer, encore moins de l'annuler. En cas de doute, vérifiez directement sur votre compte client, si vous en possédez un, qu'aucune commande de ce type n'a été enregistrée et contactez l’enseigne.
  • Dans le cas de l’usurpation d’identité dont a été victime une grande enseigne de distribution de produits culturels, techniques et électroménager, le client reçoit un message relatif à une commande qu’il n’a pas effectuée et qu’il doit confirmer ou annuler. 
    Or le site marchand de l’enseigne ne vous demandera jamais de lui indiquer vos coordonnées bancaires pour annuler une commande.  
Les fraudeurs savent très bien exploiter les situations exceptionnelles, en particulier si elles impactent les comportements d’achat de toute une population.
 
  • Ainsi, à la faveur d’une forte croissance des livraisons à domicile générées par les confinements et autres mesures sanitaires liées à la COVID-19, une fraude d’ampleur a été mise sur pied aux dépens d’une société leader de la livraison de colis : des emails ou des SMS incluant son véritable logo ont été envoyés en masse demandant aux destinataires de régler, en cliquant sur un lien présent dans le message, un montant de 2,99€ correspondant à des frais de livraison pour qu’un colis (qu’ils n’attendaient pas) leur soit livré. Le lien dirigeait vers un site très semblable à celui de la société sur lequel la victime est invitée à saisir son numéro de carte bancaire.

Ce type d’arnaque est fréquent. Le montant réclamé est faible et crédible et le bénéfice à effectuer ce règlement semble a priori supérieur au risque de ne pas recevoir … ce qu’on n’a pas commandé. Mais les petits ruisseaux font les grandes rivières ! Si des milliers de destinataires paient 2,99€, le gain des fraudeurs sera non négligeable et immédiat. Si l’on y ajoute le trésor que représente la collecte des données bancaires…

Ni votre banque, ni votre fournisseur d’accès Internet, ni un site marchand officiel, ni un organisme d’État (Trésor Public, Caisses d’Allocations familiales…) ne vous demanderont d’informations confidentielles par email ou SMS.

  • Autre exemple de phishing d’autant plus dangereux qu’il semble tout ce qu’il y a de plus sérieux : le soi-disant service technique de votre banque procède à une mise à jour logicielle afin d’améliorer la qualité de ses services et vous demande « avec bienveillance » ( !) de cliquer sur le lien présent dans le message afin de confirmer vos données bancaires. Bien écrit, sans faute d'orthographe, avec le logo authentique de la banque. Merci pour votre coopération. Désolé pour le désagrément… On a envie d’y croire…
    A un détail près : pourquoi votre banque vous demanderait-elle de confirmer vos informations bancaires ? C’est elle qui vous les fournit !
A retenir
Ne communiquez jamais, par mail ou en cliquant sur un bouton ou un lien, des informations personnelles comme vos coordonnées bancaires. Ces informations sont confidentielles et doivent le rester.
Tout comme vous ne devez jamais donner le code confidentiel de votre carte bancaire sur un site internet ou par téléphone, vous ne devez jamais communiquer vos informations bancaires en réponse à un mail ou un SMS soi-disant en provenance de votre banque. 
3. Grammaire et orthographe

 

Français approximatif = méfiance ! Certains oublis et tournures de phrase doivent attirer votre attention.

  • Un email imitant un grand fournisseur d’énergie français vous alerte :
    "Suite au refus de votre banque lors d’un prélèvement de facture, Votre paiement a été malheureusement refusé.
    Afin de résoudre ce dernier nous avons mis au point en accord avec votre banque une nouvelle tentative avec des vérifications approfondis. Veillez cher client suivre la procédure ci-dessous, toutes nos excuses pour ce désagrément".
    Suit un bouton "Résoudre ce problème maintenant" pour renforcer l’impression d’urgence.
phishing

On ne compte pas les fautes d’orthographe, de syntaxe, les formulations approximatives … Pourtant le logo est là, les mentions légales aussi, il y a même la précision habituelle sur le caractère automatique du message auquel il ne faut pas répondre. Mais on ne se laisse pas duper.

Au demeurant, retenez qu'il faut toujours contacter directement son fournisseur lorsqu'on reçoit ce genre de relance. Surtout si vous estimez être à jour dans vos paiements. 


A retenir
Un appel téléphonique peut vous éviter de lourdes conséquences. Utilisez toujours les coordonnées disponibles sur votre espace client ou présentes sur un courrier plutôt que celles indiquées dans le message.
4. Liens externes et pièces jointes
Un email qui vous demande de télécharger un fichier dans votre navigateur via un lien externe doit immédiatement vous alerter. Ne suivez pas aveuglément les instructions !
  • Vérifiez l’adresse du site vers lequel on vous dirige 

Si l’adresse n’est pas immédiatement lisible, il suffit de passer la souris (sans cliquer) sur le libellé pour que l’url complète s’affiche.

Les hackers savent aussi protéger les données qu’ils piratent ! Une adresse url sécurisée grâce à l’utilisation du protocole https n’est malheureusement pas la garantie que le site vers lequel vous serez dirigé est sans danger. Cela signifie uniquement que les données que vous saisirez sur ce site ne seront visibles que de son responsable. 

verifier site malveillant
  • Méfiez-vous des chaînes de mails 

Apparemment inoffensif, voire pétri de bonnes intentions et de bons sentiments, l’email transmis de compte en compte peut être à l’origine de bien des désagréments. Bien sûr, vous connaissez la personne qui vous l’a envoyé et vous n’avez aucun doute sur sa bienveillance. Mais qu’en est-il des précédents maillons de la chaîne ? A fortiori, de l’expéditeur initial ?

Ne vous fiez pas à une éventuelle prudence de la personne qui vous a fait suivre le message : elle aura peut-être raisonné comme vous et n’aura pas contrôlé la sécurité du fichier qu’elle vous transfère en toute bonne foi. Alors, avant d’ouvrir la vidéo des derniers exploits du chaton tout mignon, assurez-vous que VOTRE antivirus est à jour et que le fichier vérifié est sain. 

Nombre de personnes se font avoir sans même avoir ouvert le message ou la pièce qu’il contient. Il suffit parfois que le message frauduleux soit reçu dans une boîte mail pour que le hacker récupère les contacts de son propriétaire, sans même que ce dernier se rende compte de rien. Alors ne participez pas à la contagion ! Réfléchissez avant de faire suivre un message ou un document et vérifiez qu’ils ne présentent pas de risques pour leurs destinataires.

Même si le lien ou la pièce jointe ne permettent pas aux hackers de récupérer vos données, ils peuvent contenir un virus dont les effets sont variés : modification du fonctionnement de certains programmes, blocage de l’ordinateur, ransomware …

Ce type de virus ne s’active pas toujours dès utilisation du lien ou de la pièce jointe : il peut rester dans votre ordinateur pendant des mois et prendre effet à un moment tout à fait imprévisible, sans même que vous soyez connectés à un réseau internet.


A retenir
Fautes d'orthographe et liens externes ou pièce jointe = danger !
Ne cliquez jamais sur le lien ou n’ouvrez pas la pièce jointe, même s’ils semblent sécurisés.
5. Cadeaux et tirages

Quand c’est trop beau pour être vrai, c'est que cela ne l'est pas !

Vous avez gagné un concours auquel vous n'avez pas participé ? Tirage au sort miraculeux, gain qui tombe du ciel de manière inespérée, chance unique de remporter un lot de grande valeur, voilà autant de raisons de se montrer méfiant.

cadeau

A retenir
Vérifiez auprès de la société ou de l’organisme l’existence d’une opération commerciale avant toute autre démarche.

Des logiciels existent pour vous aider à rester en veille 

  • De plus en plus d’antivirus intègrent un module antiphishing qu'il faut veiller à mettre régulièrement à jour.
  • Certains navigateurs internet vous avertissent lorsque vous allez accéder à un site qu’ils ne jugent pas suffisamment sécurisé.
  • Les gestionnaires d’emails (gmail, yahoo… ou opérateurs comme orange, free …) comportent tous un dossier "Spams" ou "Indésirables". Pensez toutefois à vérifier le contenu de ce répertoire avant de supprimer les messages qu’il contient : la plupart du temps, la qualification Spam est exacte, mais il peut arriver que certains messages sains (et parfois attendus) y soient répertoriés par erreur car identifiés par le gestionnaire de mails comme potentielle source de fraude.
logiciel securite
collaboration

Pensez collaboration

Vous pouvez aider les sociétés informatiques à sécuriser les systèmes et applications qu’elles mettent à disposition de tous. 

Gmail exploite les remontées des internautes et recense les messages classés Spam par ses utilisateurs ou ceux qui ont permis à leurs émetteurs de voler les informations personnelles de leurs destinataires. Grâce à ce traitement, il prévient ses utilisateurs à réception de ce type de message. 

Par les rapports d’incidents périodiques transmis aux éditeurs de votre système d’exploitation ou de votre antivirus, vous les informez également des attaques éventuelles dont votre matériel a été victime et vous les aidez à ajouter de nouvelles protections dont tous (y compris vous !) pourront profiter.

La plateforme de lutte contre les spams vocaux et SMS (33700) centralise les signalements et transmet aux opérateurs téléphoniques les numéros émetteurs de spams. S’ils ont reçu plusieurs signalements sur le même numéro, les opérateurs peuvent prendre des mesures : couper le numéro surtaxé que le SMS spammeur vous incite à contacter par téléphone ou SMS (numéro commençant par 08, ou numéro à 4 chiffres commençant par 3), couper le numéro émetteur du SMS (numéro commençant par 06, 07, ou encore par +336, ou +337), voire déposer une plainte auprès des services de police concernés. Plus ils ont de signalements, plus les différents acteurs pourront agir pour lutter contre le spam SMS.

De même, vous bénéficiez de la vigilance de votre banque ou de votre assurance qui recueillent les doutes et les alertes de leurs clients communiqués à leurs adresses dédiées. Participez vous aussi à la protection de tous en signalant un message suspect. Au moindre doute sur un message envoyé par Allianz, rapprochez-vous de nos services : contactez votre interlocuteur habituel ou rendez-vous sur la page  Nous contacter  .

La prudence reste la meilleure protection

Eviter de cliquer sur des liens ou d'ouvrir des fichiers joints dans les emails dont vous n'êtes pas sûr ou dont vous ne connaissez pas l'expéditeur, ne pas renseigner des informations sensibles en réponse à une relance, se méfier des messages à la formulation ou à l’orthographe douteuses, ce sont les premières précautions à prendre.

Soyez vigilants sur les adresses emails des expéditeurs. Des adresses privées inconnues (gmail, yahoo et autres opérateurs) doivent vous alerter. 

Vérifiez aussi systématiquement l'url du site vers lequel on tente de vous envoyer. Certaines sont très crédibles !

protection securite

Quand un hypothétique investisseur génial vous propose un rendement miracle de 200 % en 6 mois, vous pensez tout de suite à une escroquerie. La même réaction est de mise quand un organisme, quel qu'il soit, vous propose un remboursement par mail.

La plus grande crainte d’une victime de phishing ou de smishing est que les hackers aient eu accès à ses données en piratant au préalable ses comptes ou espaces personnels.

Or la plupart du temps, la sécurité de vos accès n’est pas remise en cause.

En effet, c’est à partir de bases de données achetées sur le darknet et contenant des informations personnelles (généralement croisées depuis diverses sources : nom, prénom, adresses mail, adresses postales, mot de passe …) que les hackers envoient des emails en masse et de manière aléatoire, en pariant sur la probabilité que le destinataire soit client de telle banque ou société ou usager de tel organisme et se sente donc concerné par le message.

C’est donc en donnant suite au message que vous avez reçu que vous ouvrez vos comptes et espaces personnels aux hackers.

Vous avez reçu un email ou un SMS étrange ? Allianz vous demande vos coordonnées bancaires ou d’autres informations personnelles ?

Nous sommes particulièrement attentifs au risque de fraude et nous prenons le maximum de précautions pour les limiter et vous alerter. Vous pouvez vous aussi nous aider à protéger nos clients.

Au moindre doute, n’hésitez pas à vous rapprocher de nos services : contactez votre interlocuteur habituel ou rendez-vous sur la page Nous contacter.

Si vous avez cliqué sur un lien suspect et fourni vos informations bancaires ou de connexion à l’un de vos espaces personnels, il est toujours temps de réagir.

  • Faites opposition à votre carte bancaire si vous en avez fourni les informations ;
  • Changez votre mot de passe d’accès à l’espace personnel concerné et aux autres sites sur lesquels vous avez pu l’utiliser ;
  • Surveillez vos opérations bancaires : si des opérations frauduleuses apparaissent, vous pourrez remplir la plupart du temps un kit de contestation en quelques clics depuis votre espace client.
  • Surveillez les éléments envoyés dans votre messagerie et changer votre mot de passe au moindre soupçon. 
BON A SAVOIR

Dès que vous avez identifié une tentative frauduleuse, vous pouvez la signaler via les sites officiels :

https://www.cybermalveillance.gouv.fr/

https://signal.conso.gouv.fr/

https://www.internet-signalement.gouv.fr/

Vous pouvez aussi signaler un SMS indésirable à la plateforme de lutte contre les spams vocaux et SMS en le transférant au 33 700 (gratuit ou payant selon opérateur). Vous serez alors invité à compléter votre signalement.
Ces éléments sont produits à  titre d’information uniquement, l’éditeur décline toute responsabilité en cas d'erreur ou d'oubli typographique, technique ou autre inexactitude, pour plus de conseils  vous pouvez vous référer aux conseils et guides d’hygiène informatique établis par la CNIL et l’ANSSI.