Mes finances, mes projets, ma vie
22 septembre 2019

Phishing, soyez vigilant !

À l’heure où les banques proposent de plus en plus de services en ligne, les tentatives de fraudes et d’escroqueries se déplacent également sur le terrain digital. Parmi celles-ci, un type d’attaque prend de plus en plus d’importance au Grand-Duché de Luxembourg : le phishing. myLIFE vous explique comment le reconnaître et comment vous en protéger.

Qu’est-ce que le phishing ?

Néologisme né de la contraction des mots anglais fishing (pêche) et phreaking (piratage téléphonique), le phishing est une technique d’escroquerie qui consiste à récupérer des informations personnelles et confidentielles afin de les utiliser à son propre profit. Pour cela, le fraudeur se fait passer pour un organisme ou une personne de confiance afin de vous pousser à effectuer certaines actions lui permettant de vous dérober vos données personnelles. Et malheureusement trop souvent, ce sont les clients des banques qui sont visés.

Le phishing exploite des faiblesses humaines telles que l’empathie, la peur, l’enthousiasme ou tout simplement le manque d’attention de l’interlocuteur. Il se décline souvent sous la forme d’un email, mais peut aussi prendre la forme d’un sms (smishing) ou même d’un appel téléphonique (vishing).

Les messages peuvent contenir un lien redirigeant vers un site web souvent identique à celui de l’organisme dont le fraudeur prétend représenter. Le plus souvent, il s’agira de sites bancaires, de réseaux sociaux, ou de plateformes de paiement en ligne. En cliquant sur le lien, l’utilisateur est invité à entrer ses identifiants, à remplir un formulaire, ou tout simplement à s’enregistrer. Pendant ce temps, l’attaquant récupère les informations pour les réutiliser à des fins malveillantes.

Dans d’autres cas, le message prétend être urgent et l’attaquant tente de vous inciter à envoyer des documents ou des informations confidentielles. Le scenario peut être très bien ficelé et se composer de plusieurs messages répartis sur plusieurs semaines.

Une des erreurs les plus communes est de penser que le phishing est simple à reconnaître. Il peut être extrêmement sophistiqué et peut se décliner au travers différents canaux de communication.

Comment le reconnaître ?

L’une des erreurs les plus communes est de penser que le phishing est simple à reconnaître. Le phishing peut être extrêmement sophistiqué et peut se décliner à travers différents canaux de communication. Toutefois, si vous restez vigilant, quelques indices doivent immédiatement vous mettre la puce à l’oreille.

  • Lors d’un contact, peu importe le canal de communication, il est important de faire attention à la forme du message, aux éventuelles fautes d’orthographe, à son agencement. Si vous avez l’impression que « quelque chose cloche », soyez particulièrement sur vos gardes.
  • Lorsque le message insiste sur le côté urgent de la requête ou sur un gain potentiel, c’est peut-être une tentative d’endormir votre méfiance. Demeurez prudent.
  • L’adresse e-mail ou le site web vers lequel vous êtes redirigé sont souvent approximatifs (p.ex. www.luxtrast.lu au lieu de l’adresse correcte www.luxtrust.lu).
  • Concernant les communications par e-mail, vérifiez toujours la provenance de l’e-mail en regardant attentivement le domaine depuis lequel il a été envoyé. En cas de doute, comparez l’adresse avec d’anciens mails reçus de votre banque. Par exemple, si vous êtes client auprès de la BIL, assurez-vous que l’adresse de l’email reçu finisse bien par « @bil.com ».

Enfin, dites-vous bien qu’aucune banque ou organisation sérieuse ne vous demandera jamais vos identifiants ou vos numéros de carte bancaire. Soyez doublement prudent lorsqu’on vous demande de communiquer une information sensible. Au moindre doute, contactez directement votre banque !

Exemple

Le Grand-Duché a été la cible d’une vague de phishing via SMS fin 2018.

Le déroulement était le suivant :

  1. des clients ont reçu un sms provenant apparemment de LuxTrust contenant simplement un lien ;
  2. après avoir cliqué sur le lien, ils ont été redirigés sur un site ressemblant fort à la page de connexion LuxTrust ;
  3. pensant devoir mettre leur informations à jour, des utilisateurs ont entré leurs informations personnelles ;
  4. ces informations ont ensuite été utilisées à des fins frauduleuses.

Ne répondez pas au courriel suspect, mais renvoyez-le à votre banque en tapant vous-même l’adresse email de votre banquier.

Comment réagir et s’en protéger ?

L’idéal, c’est évidemment de ne jamais être confronté au phishing ou à d’autres types d’attaque. Si le risque zéro n’existe pas en la matière, une première bonne mesure à prendre consiste à s’assurer de garder vos logiciels, browser, système d’exploitation et antivirus à jour. Toutefois, cela risque de ne pas suffire.

Si vous tombez malgré tout sur un courrier suspect, n’hésitez pas à contacter directement votre banque ou l’organisme concerné pour vous assurer qu’il en est bien l’émetteur. Ne répondez pas au courriel suspect, mais renvoyez-le à votre banque en tapant vous-même l’adresse email de votre banquier. De même, tapez vous-même l’adresse du site de votre banque pour accéder à votre espace de banque en ligne plutôt que de cliquer sur un lien et risquer d’être sur un site qui imite presque parfaitement ce même environnement. Le plus sûr est évidemment de ne jamais cliquer sur le lien, ni ne télécharger un document attaché à un mail suspect.

Si vous avez le moindre soupçon de vol de vos identifiants, modifiez immédiatement votre mot de passe et vérifiez vos comptes bancaires. Ceci fait, contacter immédiatement votre banque pour faire part de vos soupçons et leur permettre de prendre les mesures adéquates.

Une nouveauté LuxTrust

Afin de garantir un accès totalement sécurisé à vos données personnelles, LuxTrust, l’organisme spécialisé dans l’identité électronique au Luxembourg, a récemment franchi une étape supplémentaire afin de vous aider à ne pas vous laisser prendre au piège du phishing.

Ainsi, LuxTrust a demandé à tous ses clients de choisir ce que l’on appelle une « image secrète ». Gardez bien cette image en mémoire, elle constitue un élément supplémentaire de sécurité pour vos opérations en ligne.

Votre image secrète apparaîtra à chaque saisie de l’OTP ou de votre PIN pour vous connecter à votre espace de banque en ligne ou pour signer une opération.

Les seules exceptions sont les suivantes :

  • vous utilisez LuxTrust Mobile, lequel ne requiert pas ce niveau de sécurité supplémentaire ;
  • le site où vous vous trouvez ne requiert pas d’image secrète. Renseignez-vous en cas de doute et sachez que la plupart des grandes banques de la Place et MyGuichet.lu demandent l’image secrète.
  • vous souhaitez payer sur un site 3D Secure avec votre Token.

En dehors de ces situations, si votre image secrète n’apparaît pas ou si l’image qui s’affiche n’est pas la vôtre au moment de vous connecter ou de signer une opération, vous êtes très certainement face à une tentative de phishing. Vous voilà prévenu !

Maintenant que vous avez toutes les cartes en main pour ne pas vous laissez attraper, vous pouvez « banquer » en toute sérénité.