Phishing, soyez vigilant!
À l’heure où les banques proposent de plus en plus de services en ligne, les tentatives de fraudes et d’escroqueries se déplacent également sur le terrain digital. Parmi celles-ci, un type d’attaque prend de plus en plus d’importance au Grand-Duché de Luxembourg: le phishing. myLIFE vous explique comment le reconnaître et comment vous en protéger.
Qu’est-ce que le phishing?
Néologisme né de la contraction des mots anglais fishing (pêche) et phreaking (piratage téléphonique), le phishing est une technique d’escroquerie qui consiste à récupérer des informations personnelles et confidentielles afin de les utiliser à son propre profit. Pour cela, le fraudeur se fait passer pour un organisme ou une personne de confiance afin de vous pousser à effectuer certaines actions lui permettant de vous dérober vos données personnelles. Et malheureusement trop souvent, ce sont les clients des banques qui sont visés.
Le phishing exploite des faiblesses humaines telles que l’empathie, la peur, l’enthousiasme ou tout simplement le manque d’attention de l’interlocuteur. Il se décline souvent sous la forme d’un email, mais peut aussi prendre la forme d’un sms (smishing) ou même d’un appel téléphonique (vishing).
Les messages peuvent contenir un lien redirigeant vers un site web souvent identique à celui de l’organisme dont le fraudeur prétend représenter. Le plus souvent, il s’agira de sites bancaires, de réseaux sociaux, ou de plateformes de paiement en ligne. En cliquant sur le lien, l’utilisateur est invité à entrer ses identifiants, à remplir un formulaire, ou tout simplement à s’enregistrer. Pendant ce temps, l’attaquant récupère les informations pour les réutiliser à des fins malveillantes.
Dans d’autres cas, le message prétend être urgent et l’attaquant tente de vous inciter à envoyer des documents ou des informations confidentielles. Le scenario peut être très bien ficelé et se composer de plusieurs messages répartis sur plusieurs semaines.
Une des erreurs les plus communes est de penser que le phishing est simple à reconnaître. Il peut être extrêmement sophistiqué et peut se décliner au travers différents canaux de communication.
Comment le reconnaître?
L’une des erreurs les plus communes est de penser que le phishing est simple à reconnaître. Le phishing peut être extrêmement sophistiqué et peut se décliner à travers différents canaux de communication. Toutefois, si vous restez vigilant, quelques indices doivent immédiatement vous mettre la puce à l’oreille.
-
- Lors d’un contact, peu importe le canal de communication, il est important de faire attention à la forme du message, aux éventuelles fautes d’orthographe, à son agencement. Attention, l’avènement de l’intelligence artificielle permet aux fraudeurs de rédiger des messages de plus en plus qualitatifs dans toutes les langues. Si vous avez l’impression que «quelque chose cloche», soyez particulièrement sur vos gardes.
- Lorsque le message insiste sur le côté urgent de la requête ou sur un gain potentiel, c’est peut-être une tentative d’endormir votre méfiance. Demeurez prudent.
- L’adresse e-mail ou le site web vers lequel vous êtes redirigé sont souvent approximatifs (p.ex. www.luxtrast.lu au lieu de l’adresse correcte www.luxtrust.lu).
- Concernant les communications par e-mail, vérifiez toujours la provenance de l’e-mail en regardant attentivement le domaine depuis lequel il a été envoyé. En cas de doute, comparez l’adresse avec d’anciens mails reçus de votre banque. Par exemple, si vous êtes client auprès de la BIL, assurez-vous que l’adresse de l’email reçu finisse bien par «@bil.com».
Enfin, dites-vous bien qu’aucune banque ou organisation sérieuse ne vous demandera jamais vos identifiants ou vos numéros de carte bancaire. Soyez doublement prudent lorsqu’on vous demande de communiquer une information sensible. Au moindre doute, contactez directement votre banque!
Exemple
Le Grand-Duché a été la cible d’une vague de phishing via SMS fin 2018.
Le déroulement était le suivant :
- des clients ont reçu un sms provenant apparemment de LuxTrust contenant simplement un lien;
- après avoir cliqué sur le lien, ils ont été redirigés sur un site ressemblant fort à la page de connexion LuxTrust;
- pensant devoir mettre leur informations à jour, des utilisateurs ont entré leurs informations personnelles;
- ces informations ont ensuite été utilisées à des fins frauduleuses.
Ne répondez pas au courriel suspect, mais renvoyez-le à votre banque en tapant vous-même l’adresse email de votre banquier.
Comment réagir et s’en protéger?
L’idéal, c’est évidemment de ne jamais être confronté au phishing ou à d’autres types d’attaque. Si le risque zéro n’existe pas en la matière, une première bonne mesure à prendre consiste à s’assurer de garder vos logiciels, browser, système d’exploitation et antivirus à jour. Toutefois, cela risque de ne pas suffire.
Si vous tombez malgré tout sur un courrier suspect, n’hésitez pas à contacter directement votre banque ou l’organisme concerné pour vous assurer qu’il en est bien l’émetteur. Ne répondez pas au courriel suspect, mais renvoyez-le à votre banque en tapant vous-même l’adresse email de votre banquier. De même, tapez vous-même l’adresse du site de votre banque pour accéder à votre espace de banque en ligne plutôt que de cliquer sur un lien et risquer d’être sur un site qui imite presque parfaitement ce même environnement. Le plus sûr est évidemment de ne jamais cliquer sur le lien, ni ne télécharger un document attaché à un mail suspect.
Si vous avez le moindre soupçon de vol de vos identifiants, modifiez immédiatement votre mot de passe et vérifiez vos comptes bancaires. Ceci fait, contacter immédiatement votre banque pour faire part de vos soupçons et leur permettre de prendre les mesures adéquates.
Maintenant que vous avez toutes les cartes en main pour ne pas vous laissez attraper, vous pouvez « banquer » en toute sérénité.