Phishing : ne mordez pas à l’hameçon

Parmi les arnaques préférées des cyber délinquants, nous retrouvons le Phishing. Dans cet article, nous vous montrerons comment détecter une attaque de Phishing et comment vous en protéger.

Une attaque de Phishing, qu’est-ce que c’est ?

Dans un monde où l’information est toujours plus accessible et immédiate, il est compliqué de trouver de nouvelles formes d’arnaques, c’est pourquoi les cyber délinquants redoublent d'ingéniosité.

Ils trouvent des méthodes plus sophistiquées les unes que les autres pour entrer en contact avec les potentielles victimes de phishing et autres escroqueries en ligne. L’une des plus communes est "l'ingénierie sociale”, ou comment utiliser la manipulation psychologique pour que les utilisateurs partagent des informations confidentielles ou effectuent une action qui sera bénéfique pour le cyber délinquant. Les assaillants savent à quel point il est facile de manipuler les gens avec les messages adéquats. 

Une attaque de phishing est un type d’arnaque dans laquelle le cyber délinquant (ou phisher) tente de dérober l’information privée et confidentielle d’une personne en se faisant passer pour une entreprise reconnue ou une personne physique. 

Les canaux que ces cyber délinquants utilisent comme “appât” sont variés : mails, SMS (smishing), appels téléphoniques (vishing), pages web, WhatsApp et même les réseaux sociaux. C’est depuis ce dernier canal que les assaillants, une fois le contact établi avec un utilisateur, sollicite une information personnelle depuis un compte qui semble fiable, grâce à des messages privés. 

Quel est le but d’une attaque de Phishing ?

Le but final de ces communications est de soustraire des données personnelles, comme les identifiants et mots de passe, les données d’une carte de crédit de comptes bancaires… Tout type d’information qui soit utile pour en tirer du bénéfice, aussi bien pour dérober l’argent de nos comptes bancaires ou cartes de crédit ou même vendre ces données à d’autres cyber délinquants. Une autre pratique fréquente est la souscription d’un prêt au nom de la victime qui, en plus de se retrouver sans ressources, doit faire face à une dette conséquente.

Comment fonctionne une attaque de Phishing ?

Nous avons déjà tous reçu un message, qui à première vue paraît fiable, mais qui en réalité ne l’est pas. Ces communications, qui s’utilisent comme appât, donnent l’impression de provenir d’une entité connue, dont parfois vous n’êtes même pas client. Il existe certains indices qui nous permettent d’identifier de façon rapide si nous somme victimes d’une potentielle attaque de phishing :

1. Fausse réception d’un produit : 
   Le cyber délinquant envoie un message vous informant d’une supposée réception d’un produit qui, pour un quelconque motif, n’a pas pu vous être délivré. Ces mails incluent les logos et noms d’entreprises de boîtes mails et colis bien connues. 
   Le but de ce mail est de vous faire cliquer sur le lien qui, en théorie, doit vous rediriger vers le suivi du colis, pour ensuite vous demander les données de vos cartes de crédit ou compte courant pour finaliser cette supposée livraison. 
   Pour éviter cette arnaque, vous ne devez pas cliquer sur les liens joints et éliminez le message.
    
2. Un soi-disant paiement en attente : 
   Le phisher vous informe dans un mail, ou un autre canal, que vous avez une facture ou un paiement en attente d’un fournisseur ou une entreprise connue, et vous invite à réaliser le dit paiement via un lien. 
   Le but ici est de pousser la victime de l’escroquerie à entrer une série de données personnelles, utiles pour le cyber délinquant. 
    
3. Téléchargements :
   Une autre sorte d’usurpation d’identité qui est fréquemment utilisée consiste à demander à la personne qui réceptionne le message d’ouvrir ou télécharger un document. En amont, on vous demande de lancer une session, ce qui est le moment où l’assaillant peut récupérer votre nom d’utilisateur et votre mot de passe.
    
4. Faux message de sécurité :
   Le cyber délinquant, en s’appropriant l’identité d’entreprises importantes et reconnues, envoie un message d’alerte concernant un problème de sécurité, dans lequel il inclut des liens frauduleux. 
    
5. Fausse offre de produit : 
   Dans ce cas, on vous envoie une communication au nom d’une entreprise, dont vous pouvez éventuellement être déjà client, et on vous offre un nouveau produit ou service. Étant une vente de produit fictif, le cyber délinquant vous demandera des données personnelles et bancaires.
    
6. Tirage au sort de faux produits : 
   Ce type d’arnaque consiste à envoyer un message à la victime en l'informant qu’elle a gagné un cadeau super attractif qu’elle doit récupérer à travers de faux liens de la part d’entreprises connues. Pour récupérer “le cadeau”, vous devez fournir une série de données comme les informations de vos cartes bancaires, pour régler les frais d’envoi du prix ; c’est le prétexte parfait pour récupérer vos données bancaires et réaliser des opérations frauduleuses en votre nom.

Comment reconnaître et éviter une attaque de phishing ?

Tout d’abord, ce que vous devez faire pour éviter d’être victime d’une attaque de phishing c’est de reconnaître ce type de communication. Comment ?

1. Erreurs grammaticales et orthographiques :
   Dans certains cas, les messages envoyés proviennent de pays étrangers en utilisant des traducteurs automatiques, contenant ainsi des erreurs faciles à reconnaître. 
    
2. Manque de personnalisation :
   Il arrive que les messages frauduleux commencent par la phrase “cher client”, sans personnaliser le contenu avec votre nom.
    
3. Sollicitation de données personnelles : 
   Des données comme votre numéro de compte bancaire, des accès internet et parfois même le PIN de vos cartes. Ce type de données ne doit jamais être demandé à travers ces canaux.
    
4. Informations de contact : 
   L’envoi du message se fait par une personne qui se fait passer pour un employé d’une entreprise, avec laquelle vous avez l’habitude de travailler, mais vous ne le reconnaissez pas.
    
5. Expéditeur douteux : 
   Bien souvent, l’expéditeur ne correspond à aucune entreprise de laquelle vous êtes client. 
    
6. Ton anxiogène et pressant : 
   Il se peut que les cyber délinquants vous sollicite de façon immédiate, tentant de vous faire paniquer vis à vis de certains problèmes ou conséquences négatives dont vous pourriez souffrir si vous ne faites pas ce qui est demandé dans le message, comme la clôture d’un compte par exemple.
    
7. Ton “confidentiel” : 
   Dans le milieu entrepreneurial, ce ton “confidentiel” dans certains messages donne l’idée qu’ils ont été envoyés par le président ou CEO de l’entreprise.
    
8. Mails inconnus et étranges : 
   C’est également fréquent de trouver des adresses mails avec des symboles étranges, numéros et lettres séparés et qui n’ont aucun lien avec le nom de l’entreprise qu’ils veulent usurper. 

Si vous êtes client Orange Bank, nous vous rappelons que jamais nous ne vous demanderons vos mots de passe via un autre canal que l’app. Notre fonctionnement est 100% mobile, c’est pourquoi si vous recevez une sollicitude d’informations personnelles par d’autres canaux comme le web, les réseaux sociaux, les mails ou SMS, nous vous invitons à entrer en contact avec nous à travers l’app pour dénoncer ce problème. 

Clients Orange Bank : votre sécurité est notre priorité.

À chaque connexion et pour la plupart de vos achats et paiements, votre App vérifie deux fois que c’est bien vous qui êtes à l’origine des opérations, c’est la double authentification. Et de plus, votre App s’assure toujours que c’est bien depuis un appareil de confiance, votre smartphone, ordinateur ou tablette personnelle que vous vous connectez. On vous explique tout sur ces deux systèmes, finalement assez simples, mais redoutablement efficaces, qui garantissent votre sécurité.

La double authentification : vos codes de carte ne suffisent pas, il faut confirmer depuis votre smartphone. Vous connaissez probablement maintenant ce système qui a fait ses preuves. Lors d’un achat en ligne par exemple, vous devez non seulement fournir vos numéros de carte, mais en plus vous devez confirmer l’achat depuis votre App (ou parfois via un SMS reçu avec un code). Ainsi même si l’on vous dérobe votre carte, le plus souvent on ne peut pas s’en servir. 

Les appareils de confiance : Pour vous protéger encore plus efficacement contre le phishing, nous avons mis en place un système qui rend impossible la connexion à votre espace client, même avec vos codes, si l’on ne dispose pas d’un appareil que vous avez autorisé : un appareil de confiance (votre smartphone, ordinateur, tablette).

De plus, votre App s’enrichit encore d’une nouvelle fonctionnalité : la gestion de vos appareils de confiance. Elle vous permet de contrôler que seuls les appareils que vous avez autorisés peuvent effectuer des opérations sur votre compte. Vous pouvez ainsi vérifier simplement que vous reconnaissez tous les appareils de confiance enregistrés et que vous êtes en sécurité.
 

Clients Orange Bank : nous ne vous demanderons jamais vos données personnelles, ne les communiquez jamais

Si vous êtes client Orange Bank, nous vous rappelons que jamais nous ne vous demanderons vos mots de passe. Le seul moment où vous devez renseigner votre mot de passe est lors de votre connexion à l’App. Donc, si vous recevez une demande d’informations personnelles de notre part par d’autres canaux, comme téléphone, le Web, les réseaux sociaux, les mails ou SMS, il ne s’agit pas de nous mais d’une tentative de fraude. Nous vous invitons à entrer en contact avec nous à travers l’App (rubrique « Profil > Demandes > Faire une nouvelle demande ») pour nous signaler ce problème. Vous pouvez aussi transférer tout mail qui vous semble douteux à l’adresse information@contact.orangebank.fr.

Orange Bank - SA au capital de 898 775 712 € - 67 rue Robespierre - 93107 Montreuil Cedex - 572 043 800 RCS Bobigny - Orias n°07 006 369 (www.orias.fr).