Accueil » Sécurité » Que faire si je suis victime d’hameçonnage ?

Que faire si je suis victime d’hameçonnage ?

Le rapport de cybermalveillance.gouv.fr, la plateforme de lutte contre la cybermalveillance, a révélé que

l’hameçonnage était la menace la plus répandue en France en 2022, avec une hausse de plus de 31 % au 3 trimestre 2022.

Découvrez à travers cet article comment gérer les escroqueries en ligne. Il vous expliquera tout d’abord comment repérer les demandes trompeuses en ligne, ce que vous devez faire lorsque vous vous rendez compte que vous avez subi une arnaque et, ensuite, comment prévenir les futures afin de ne plus vous faire avoir.

C'est quoi l'hameçonnage ?

L’hameçonnage est une forme de cybercriminalité qui consiste à tromper une personne pour obtenir des informations confidentielles telles que des mots de passe, des numéros de carte de crédit, des informations financières ou des données personnelles. Les attaques d’hameçonnage peuvent se produire par le biais d’e-mails frauduleux, de sites Web falsifiés, de pop-ups en ligne ou de messages instantanés.

Les cybercriminels utilisent souvent des techniques de phishing pour tromper les victimes en faisant croire qu’ils proviennent d’une source digne de confiance, comme une banque ou un fournisseur de services en ligne. Ils peuvent également utiliser des logiciels malveillants tels que des virus ou des chevaux de Troie pour accéder à des ordinateurs sans autorisation et obtenir des informations sensibles.

Les conséquences de l’hameçonnage peuvent être graves et incluent la perte financière, la violation de la vie privée et le vol d’identité. Il est important de prendre des mesures de prévention pour se protéger contre les attaques d’hameçonnage, telles que la vérification des e-mails et des sites Web avant de fournir des informations confidentielles, l’utilisation de mots de passe forts et uniques et la tenue à jour des logiciels de sécurité sur tous les appareils connectés à Internet.

Le fonctionnement d'une attaque d'hameçonnage

L’attaque par phishing est une technique d’escroquerie qui vise à voler des informations confidentielles en se faisant passer pour une entreprise ou un site web légitime. Les escrocs utilisent souvent des e-mails ou des sites web falsifiés pour inciter les victimes à entrer leurs informations personnelles, telles que des noms d’utilisateur et des mots de passe. Une fois ces informations volées, les escrocs peuvent les utiliser pour accéder à des comptes sensibles, tels que des comptes bancaires en ligne, et voler de l’argent ou d’autres informations sensibles.

Il est donc important de rester vigilant et de ne pas fournir d’informations personnelles à des sources non fiables ou non vérifiées.

Quels sont les types d'hameçonnage ?

Il existe plusieurs types d’hameçonnage, notamment :

Phishing par e-mail : Une attaque qui consiste à envoyer un e-mail frauduleux en se faisant passer pour une entreprise de confiance pour voler des informations sensibles telles que les mots de passe, les numéros de carte de crédit, etc.
Phishing par SMS : Une attaque qui consiste à envoyer un SMS frauduleux en se faisant passer pour une entreprise de confiance pour inciter les victimes à fournir des informations sensibles.
Phishing sur les réseaux sociaux : Une attaque qui consiste à créer un faux compte sur un réseau social pour inciter les victimes à fournir des informations sensibles.
Phishing dans les annonces en ligne : Une attaque qui consiste à utiliser des annonces en ligne frauduleuses pour inciter les victimes à fournir des informations sensibles.
Phishing dans les jeux en ligne : Une attaque qui consiste à utiliser des jeux en ligne frauduleux pour inciter les victimes à fournir des informations sensibles.

Il est important de rester vigilant et de prendre des mesures de prévention pour se protéger contre les attaques d’hameçonnage, telles que la vérification soigneuse des e-mails et des liens, et la mise en place de solutions de sécurité informatique adéquates.

Exemple d'attaque par hameçonnage

Un utilisateur reçoit un e-mail qui semble provenir de sa banque. L’e-mail affirme qu’il y a eu une activité suspecte sur le compte bancaire de l’utilisateur et demande à l’utilisateur de cliquer sur un lien pour vérifier son compte. Le lien mène à un site web qui ressemble à celui de la banque de l’utilisateur, mais en réalité, c’est un site web falsifié créé par des escrocs. L’utilisateur est invité à entrer son nom d’utilisateur et son mot de passe pour accéder à son compte. Une fois que les escrocs ont obtenu ces informations, ils peuvent accéder au compte bancaire de l’utilisateur et voler de l’argent.

Cet exemple montre comment les attaques par hameçonnage peuvent être trompeuses et se faire passer pour des entreprises ou des sites web légitimes pour voler des informations confidentielles. Il est important de rester vigilant et de ne pas fournir d’informations personnelles à des sources non fiables ou non vérifiées.

Comment savoir si on est victime d'hameçonnage ?

La première question à se poser est : comment reconnaître un mail de phishing ? Il existe plusieurs techniques d’hameçonnage, mais certaines des signes les plus courants incluent :

Un courriel ou un message suspect : Si vous recevez un courriel ou un message d'un expéditeur qui vous semble étrange ou non familier, il pourrait s'agir d'une tentative d'hameçonnage.
Des demandes d'informations personnelles : Si vous êtes invité à fournir des informations personnelles, telles que votre nom d'utilisateur, votre mot de passe ou votre numéro de carte de crédit via un lien ou un formulaire en ligne, il pourrait s'agir d'une tentative d'hameçonnage.
Des URL suspectes : Si vous cliquez sur un lien qui mène à une URL qui ne correspond pas à celle du site web légitime, il pourrait s'agir d'une tentative d'hameçonnage.
Des erreurs de typographie ou de grammaire : Si vous remarquez des erreurs de typographie ou de grammaire dans un courriel ou un message, il pourrait s'agir d'une tentative d'hameçonnage.
Des alertes de sécurité inhabituelles : Si vous recevez des alertes de sécurité inhabituelles sur vos comptes en ligne, il pourrait s'agir d'une indication d'hameçonnage.

Il est important de rester vigilant et de ne pas fournir d’informations personnelles ou sensibles à des expéditeurs inconnus ou suspectés. Si vous pensez être victime d’un hameçonnage, il est recommandé de prendre rapidement des mesures pour protéger vos informations personnelles et de contacter les autorités compétentes.

Est-il possible de se faire pirater en cliquant sur un lien ?

Oui, il est tout à fait possible de se faire pirater en cliquant sur un lien. Les liens malveillants peuvent contenir des virus ou des logiciels malveillants qui s’installent sur votre ordinateur ou votre appareil mobile sans votre consentement. Lorsque vous cliquez sur un tel lien, vous pouvez vous retrouver sur un site Web frauduleux qui vous demande de saisir vos informations personnelles ou de télécharger un fichier qui contient un logiciel malveillant. Une fois que vous avez cliqué sur le lien, vous pouvez involontairement donner accès à vos informations sensibles, telles que vos coordonnées bancaires, vos mots de passe et vos identifiants de connexion.

Il est important d’être vigilant lorsque vous cliquez sur des liens, surtout si vous ne les attendez pas ou si vous ne connaissez pas l’expéditeur. Si vous avez un doute, il est conseillé de ne pas cliquer sur le lien et de contacter directement l’expéditeur pour vérifier s’il est légitime. De plus, vous pouvez utiliser un logiciel de sécurité pour vous protéger contre les liens malveillants et autres menaces en ligne.

Comment reconnaître un mail ou sms de phishing ?

De nos jours, nous sommes souvent sollicités par e-mail ou SMS, que ce soit pour des offres promotionnelles ou des mises à jour de compte. Cependant, tous ces messages ne sont pas authentiques. Les fraudeurs en ligne ont développé des techniques sophistiquées pour tromper les gens et leur soutirer des informations sensibles, tels que les mots de passe, les numéros de carte de crédit, et les informations personnelles. Ces attaques sont connues sous le nom de « phishing » et peuvent avoir des conséquences désastreuses.

Placer sa souris sur le lien douteux

Il est généralement déconseillé de cliquer sur un lien dans un e-mail ou un message instantané, même si vous connaissez l’expéditeur.

Le strict minimum que vous devriez faire est de survoler le lien pour voir si la destination est la bonne.

Certaines attaques d’hameçonnage sont assez sophistiquées et l’URL de destination peut ressembler à une copie conforme du site authentique, configurée pour enregistrer les frappes au clavier ou voler les informations de connexion/de carte de crédit. S’il vous est possible d’accéder directement au site via votre moteur de recherche, plutôt que de cliquer sur le lien, vous devriez le faire.

Vérifier l’adresse de la barre de navigation

Lorsque vous fournissez des informations sensibles au site Web, il est naturel d’être un peu méfiant. Afin de vérifier l’authenticité et la fiabilité d’un site, voici les étapes essentielles que vous pouvez suivre :

Il est prudent de ne pas télécharger de fichiers ou de pièces jointes à partir de sites Web suspects. Souvent, même les moteurs de recherche proposent des liens vers un site Web de phishing.

Que faire en cas d'hameçonnage ?

Selon les statistiques, il y a environ plusieurs milliards d'attaques d'hameçonnage chaque année, ce qui en fait l'une des menaces les plus graves pour la sécurité en ligne.

Les attaques de phishing peuvent prendre de nombreuses formes, notamment les e-mails de phishing, les sites Web de phishing, les messages texte de phishing et les réseaux sociaux de phishing. Les cybercriminels utilisent souvent des techniques soigneusement conçues pour tromper les victimes en les incitant à divulguer des informations sensibles, telles que les mots de passe et les informations de carte de crédit.

Compte tenu de la fréquence et de la sophistication croissante des attaques de phishing, il est important de rester vigilant et de prendre des mesures de sécurité pour se protéger contre ce genre d’attaques. Mais, que faire si vous avez été victime de « phishing » et que vos économies et/ou vos informations personnelles vous ont été volées ? Voici les recours possibles pour les dommages subis par les victimes de « phishing ».

Contactez l’organisme concerné

Signalez le stratagème d’hameçonnage à l’entreprise (qu’il s’agisse de votre fournisseur de messagerie, de votre entreprise de services publics ou de votre employeur) dont l’hameçonneur s’est fait passer pour vous. Faites savoir à l’entreprise que vous avez changé votre mot de passe et suivez ses instructions pour protéger vos informations et votre compte. Si vous avez fourni des informations financières, vous devrez peut-être annuler votre carte existante et en obtenir une nouvelle.

Changez de mot de passe ou faire opposition

Il est suggéré de changer immédiatement le mot de passe du compte attaqué qu’il s’agisse de votre boîte aux lettres électronique, compte bancaire ou compte de tout réseau social ou portail d’achat en ligne. Vous n’avez pas besoin de tous les changer immédiatement mais concentrez-vous sur celui qui est le plus directement référable, pour les graphiques frauduleux utilisés ou le contenu du message, à votre compte réel.

Les violations de comptes bancaires sont aujourd’hui plutôt difficiles pour les systèmes anti-fraude utilisés qui prévoient l’autorisation de toute opération au moyen d’une deuxième confirmation envoyée au téléphone mobile et / ou qui nécessitent un mot de passe de confirmation supplémentaire ou même une empreinte digitale. Néanmoins, vous devez contacter immédiatement votre établissement de crédit, votre banque ou l’émetteur de toute carte de débit ou de crédit associée, à la tentative de vol de vos données.

Découvrez les 10 bonnes pratiques pour assurer la sécurité de vos données

Téléchargez le livre blanc

Il serait conseillé d'avoir un mot de passe différent pour chaque compte, complexe (c'est-à-dire composé d'un ensemble de lettres, de chiffres et de caractères spéciaux) et composé d' au moins 15 caractères.

Conservez les preuves

Si vous avez mordu à l’hameçon, c’est-à-dire que vous avez envoyé vos données sensibles, mots de passe et détails de carte en réponse à un e-mail frauduleux, il est possible que quelqu’un ait accès à votre boîte de réception et à vos réseaux sociaux (surtout si le mot de passe que vous l’utilisation est la même).

Donc, dès que vous vous rendez compte que vous avez été victime d’une arnaque en ligne, faites des captures d’écran, rassemblez toutes les preuves de l’escroquerie, vous pouvez changer les mots de passe de n’importe quelle plate-forme, mais ne supprimez pas les messages afin de conserver la preuve de la fraude. Cette étape est cruciale afin de pouvoir par la suite porter plainte et signaler le préjudice subi.

Signalez l’escroquerie sur un site dédié

Lorsque dans la boite aux lettres, on trouve un mail anormal ou suspect, avant tout il ne faut pas l’ouvrir. Déplacez simplement l’e-mail dans votre dossier de courrier indésirable ou de spam.

En cas d’ouverture accidentelle de l’email suspect, ou d’avoir cliqué sur des liens ou bannières étranges ou dans tous les cas, si vous êtes victime d’une arnaque, signalez-le immédiatement sur signal-spam.fr via le formulaire dédié et contactez votre banque, poste ou service de carte de crédit. Enfin, si vous avez un compte Gmail, vous pouvez signaler le comportement illégal à Google via leur formulaire spécifique. Dans ce cas, changez immédiatement tous les mots de passe.

Si vous avez repérez une adresse d’hameçonnage : signalez le sur phishing-initative.fr afin d’assurer la fermeture du site par la suite.

La règle générale est qu’en ligne, personne ne vous donne rien. Les escrocs profitent en effet d’un moment de difficulté, par surprise pour frapper la victime, peut-être en utilisant des termes d’urgence. Cette technique est souvent et volontairement ciblée et étudiée.

Déposez plainte au commissariat

La meilleure des défenses c'est l'attaque !

Téléchargez l'infographie

La première chose à faire est d’essayer de bloquer votre compte bancaire, de déposer une plainte écrite auprès de votre banque, de changer votre mot de passe et de contacter la police. Vous pouvez signaler l’attaque et aider les autres à ne pas tomber dans le même piège. Le tout, avec les preuves de l’escroquerie, directement au commissariat ou sur son site internet : une sorte de bureau géré, à travers lequel il est possible d’envoyer des informations sur les délits informatiques tels que le phishing, le piratage, usurpation d’identité, le vol de Codes de guichet automatique et cartes de crédit, escroqueries au commerce électronique, spam, pédophilie en ligne, violation du droit d’auteur en ligne et téléphonie. Si l’arnaque a été réalisée et que des sommes ont été prélevées sur votre compte courant, il convient de vérifier toutes les modalités de l’arnaque pratiquée, les systèmes de sécurité mis en place par votre banque ou la poste et vérifier si poursuite judiciaire est possible. Il faut savoir, tout d’abord, que la Banque devra prouver la mauvaise foi de la personne qui a subi l’escroquerie et ce n’est qu’en cas de faute intentionnelle ou de faute lourde de son titulaire de compte qu’il ne devra pas rembourser les sommes !

Comment se protéger de l'hameçonnage ?

Les techniques utilisées par les cybercriminels sont variées mais le but reste le même : inciter l’internaute à se tromper et à acquérir frauduleusement ses données sensibles.

Il faut donc connaître les éléments fondamentaux de la cybersécurité (test d’intrusion, pra informatique, services hébergés, sauvegarde externalisée, …), toujours garder l’œil ouvert et être prêt à réagir dans des délais très courts : en cas d’erreur nous aurions très peu de temps pour y remédier. Voici quelques conseils pour vous défendre :

Les bonnes pratiques de cybersécurité

voici quelques bonnes pratiques de cybersécurité pour se protéger de l’hameçonnage :

Vérifier l'adresse e-mail de l'expéditeur : Avant de cliquer sur un lien ou de fournir des informations, assurez-vous de vérifier l'adresse e-mail de l'expéditeur. Les e-mails frauduleux peuvent avoir des adresses e-mail similaires à celles des entreprises légitimes, mais avec des différences mineures. Si vous avez un doute, il est conseillé de contacter directement l'entreprise pour vérifier si l'e-mail est authentique.

Ne pas cliquer sur les liens suspects : Si vous recevez un e-mail suspect avec un lien, ne cliquez pas dessus. Les liens de phishing peuvent vous rediriger vers des sites Web frauduleux qui peuvent installer des logiciels malveillants sur votre ordinateur ou vous amener à saisir des informations sensibles.
Ne pas fournir d'informations sensibles : Évitez de fournir des informations personnelles ou sensibles telles que des identifiants de connexion ou des informations bancaires par e-mail. Les entreprises légitimes ne vous demanderont jamais de fournir ces informations par e-mail.

Antivirus, antispam

Pour se protéger contre l’hameçonnage, l’utilisation d’un antivirus et d’un antispam peut aider à détecter les e-mails de phishing avant même qu’ils n’atteignent votre boîte de réception.

Un antivirus est un logiciel de sécurité qui peut détecter les programmes malveillants sur votre ordinateur ou votre appareil mobile, y compris les virus, les logiciels espions et les chevaux de Troie. Lorsque vous recevez un e-mail de phishing, l’antivirus peut détecter les pièces jointes ou les liens malveillants et les bloquer avant qu’ils ne puissent causer des dommages.

De même, un antispam est un logiciel qui peut filtrer les courriers électroniques indésirables, tels que les spams, les messages publicitaires et les e-mails de phishing. En utilisant un antispam, vous pouvez réduire la quantité de courriers électroniques non sollicités dans votre boîte de réception et améliorer votre capacité à repérer les e-mails de phishing.

Il est important de noter que l’utilisation d’un antivirus et d’un antispam ne garantit pas une protection complète contre l’hameçonnage. Il est toujours important de faire preuve de prudence et de ne pas cliquer sur des liens ou des pièces jointes dans des e-mails suspects. De plus, il est recommandé de sensibiliser les membres de votre entreprise ou de votre famille aux dangers de l’hameçonnage afin de réduire le risque de tomber dans le piège de l’hameçonnage.

Activez la double authentification

Comment sécuriser l’entreprise est encore une question sans réponse. Néanmoins, vous disposez d’une authentification à deux facteurs pour sécuriser les e-mails, que ce soit votre e-mail personnel ou votre e-mail professionnel.

2FA est une vérification en deux étapes dans laquelle une étape est très courante et tout le monde est obligé de la faire. Nous parlons de définir un mot de passe complexe. Les mots de passe sont une combinaison d’alphabets majuscules et minuscules ainsi que de chiffres et de caractères spéciaux. La deuxième étape est un code de vérification qui est partagé sur votre numéro de mobile ou votre e-mail de récupération enregistré.

Le service de cybersécurité de votre entreprise peut activer l'authentification à deux facteurs pour tous les e-mails de l'entreprise. Si l'une des informations d'identification a été compromise, 2FA ne donnera pas accès au fraudeur. Comment ? Un code est envoyé au numéro de téléphone enregistré (idéalement, il doit s'agir du numéro de votre entreprise) et sans vérification de ce code, personne ne peut accéder aux e-mails.

Les campagnes de phishing pour sensibiliser vos employés

les campagnes de phishing sont souvent utilisées pour sensibiliser les employés aux risques de l’hameçonnage et pour éduquer les membres de l’entreprise sur la façon de reconnaître et d’éviter les e-mails frauduleux.

Ces campagnes sont généralement menées par les équipes de sécurité informatique ou les responsables de la formation en sécurité de l’entreprise. Elles consistent à envoyer des e-mails de phishing simulés à des membres de l’entreprise pour voir combien d’entre eux cliquent sur les liens suspects ou fournissent des informations sensibles.

L’objectif de ces campagnes n’est pas de piéger les employés, mais plutôt de les sensibiliser aux risques de l’hameçonnage et de leur donner les moyens de reconnaître les signes d’un e-mail de phishing. Après la campagne, les employés qui ont cliqué sur les liens ou fourni des informations sont informés qu’il s’agissait d’un exercice et qu’ils doivent être plus prudents à l’avenir.

Elles peuvent également être utilisées pour évaluer l’efficacité des programmes de formation en sécurité informatique de l’entreprise. Si un grand nombre d’employés cliquent sur les liens de phishing simulés, cela peut indiquer que des mesures supplémentaires de formation ou de sensibilisation sont nécessaires.