Skip to main content

ACCUEIL > Nos actualités > > Cybermenace : Appel à la vigilance face au phishing
Image Page interne
10 Pratiques

Cybermenace : Appel à la vigilance face au phishing

Hameçonnage, phishing, filoutage, ces trois mots désignent la même chose, une arnaque très répandue sur le web. Avant d’entrer le détail, nous faisons un point sur la sémantique.

Le terme hameçonnage a été défini en 2004 par l'Office québécois de la langue française. Oui, le mot choisi et la définition est né de la francophonie, avant même d’être né en France. 

C’est le terme filoutage qui sera défini deux plus tard en France, en 2006 par la Commission générale de terminologie et de néologie.

Concernant le terme Phishing, il existe plusieurs théories sur la paternité du terme anglophone.

1. Phishing serait la contraction des mots anglais « fishing » pour l’activité de la pêche, et « phreaking » une autre pratique malveillante pour définir un piratage de ligne téléphonique, 
2. Phishing serait l’appellation donnée par les pirates informatiques pour cette pratique, car ils avaient pour expression « Password Harvesting fishing”, soit la traduction « pêche aux mots de passe ». Les premières lettres des mots « Password » et de « Harvesting » ont dont été conservées pour être assemblées et contractés avec le dernier mot « fishing » ce qui aurait donné naissance au terme « Phishing ».

Maintenant, que vous êtes à l’aise avec l’un de ces trois termes, passons aux choses sérieuses.

L’hameçonnage, une pratique malveillante très répandue sur internet

L’hameçonnage, une pratique malveillante très répandue sur internet

Aussi appelé phishing ou filoutage, l’hameçonnage est l’une pratique malveillante du net des plus anciennes et des plus connues du monde de la cyber arnaque. Cette technique utilisée par des pirates, également qualifiés de fraudeurs, consiste à collecter vos données personnelles dans le but d’usurper votre identité, et dans la majeure partie des cas, pour vous voler de l’argent.

1. Quand est-ce que l’hameçonnage est apparu ?

 Le premier cas de phishing remonte au milieu des années 90, avec une attaque visant à dérober les noms d'utilisateurs et leurs mots de passe sur AOL (un service de messagerie), élaborée à l'aide d'outils comme « AOHell ».

Le principe parait simple, mais fonctionne toujours aujourd’hui avec une logique similaire : Un hacker se faisait passer pour un membre de l'équipe AOL en envoyant un e-mail à une autre adresse, celle d’une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe pour « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes.

2. Quel type d’e-mail frauduleux ou de lien peut-être de l’hameçonnage ?

Si vous deviez retenir une chose, c’est que pour ces pirates, tous les moyens sont bons pour faire baisser votre niveau de vigilance et vous faire cliquer à l’endroit où il veut que vous cliquiez.

Pour la plupart de ces attaques, le phishing consiste en une reproduction d’un e-mail provenant d’une source « connue » par vous-même, que vous pourriez tout à fait considérer comme étant « fiable » puisque vous la consultez plus ou moins régulièrement. C’est ce que l’on appel un tiers de confiance. Il est aussi très fréquent que l’ expéditeur qui se fasse passer pour un organisme officiel (Impôts, Caisse d’allocations familiales…).

Votre courrier, peut donc contenir une invitation à cliquer sur un lien pour :

  • vous faire bénéficier d’une offre exceptionnelle sur votre site marchand habituel,
  • vous donner un accès VIP à une information liée à vos centres d’intérêt,
  • vous demander régulariser une facture que vous auriez oublié de payer ou de régulariser,
  • vous abonner à une page trop tendance et trop incontournable pour ne pas cliquer dessus,
  • vous inviter à ouvrir un fichier en pièce-jointe (au hasard, au format PDF) avec toutes les infos que vous recherchez récemment dans votre moteur de recherche…

Avec un petit tour d’illusionniste, votre e-mail soi-disant « officiel » et le lien « 100% sécurisé » sur lequel vous avez cliqué en toute confiance s’est avéré être un e-mail factice, provenant d’une source malveillante.

Alors, pourquoi rien ne vous a sauté aux yeux, au-delà du tiers de confiance qui vous a été annoncé dans l’e-mail ?

Tout simplement parce que la reproduction d’un e-mail du tiers de confiance en question a été suffisamment bien réalisé pour que vous y croyiez.

Le clic sur le lien a enclenché le processus, vous êtes hameçonné.

Voir plus Voir moins
Quels sont les différents types d’hameçonnage ?

Quels sont les différents types d’hameçonnage ?

Il existe en effet plusieurs catégories d’hameçonnage. Le phishing par e-mail, par appel téléphonique, par SMS, sur votre smartphone…

Retrouvez ci-dessous une liste non exhaustive des catégories de phishing les plus courantes : 

1. Le phishing par e-mail

L’email phishing se distingue par le mot « e-mail » car les différents types de phishing qui sont apparus sur le web depuis les années 90 l’imposent. L’e-mail phishing qui est maintenant devenu un type de phishing, est à l’origine de toutes les déclinaisons d’hameçonnages qui existent aujourd’hui. Tout se passe donc par courrier électronique, avec le schéma classique.

Un e-mail imitant une source fiable ou institutionnelle vous invite à cliquer sur un lien ou régler un montant en saisissant vos coordonnées bancaires.

2. Le smishing, ou l’hameçonnage par SMS

Contraction des mots « SMS » et « phishing », le smishing est technique répandue qui consiste à envoyer un message sur un téléphone portable avec un SMS, qui contient un lien frauduleux et/ou un numéro de téléphone à rappeler, généralement en urgence.

3. Le vishing, ou l’hameçonnage vocal

Contraction des mots « voice » et « phishing », le vishing est déclinaison par appel téléphonique du phishing. 

Pour réaliser un vishing, les cybercriminels utilisent des numéros de téléphone frauduleux, ils peuvent aussi utliser des logiciels pour modifier leur voix, des messages texte ou encore des techniques d'ingénierie sociale pour inciter les utilisateurs à divulguer des informations sensibles. Le but reste le même, vous amener à dévoiler des informations personnelles ou vos coordonnées bancaires. 

Exemple : Vous recevez un appel de la part d’un salarié chez Microsoft ou de votre Antivirus vous indiquant que vous êtes en ce moment, victime d’un antivirus. Pour résoudre ce problème, il vous faut absolument mettre à jour votre système, et/ou réinstaller votre antivirus.

Ce qui est faisable dès maintenant avec votre faux agent au téléphone, moyennant un paiement en ligne, pour lequel il aura besoin de vos coordonnées bancaires. 

L’occasion pour le pirate de prendre vos coordonnées bancaires, et, d’installer un logiciel malveillant (Malware) sur votre PC pour vous voler ensuite plus de données.

4. Le whaling, ou l’hameçonnage de « gros poisson »

Contraction des mots « whale » qui signifie baleine en anglais et de « phishing », le whaling est un type de phishing qui ciblent la plus part du temps les entreprises, et plus particulièrement, les ressources situées au plus haut niveau de l’organigramme, à savoir les PDG, directeurs financiers ou autres directeurs ayant de grandes responsabilités, et idéalement, accès aux comptes de la société.

Exemple : un e-mail reçu stipule que l’entreprise du destinataire est poursuivie en justice.

Il doit cliquer sur le lien contenu dans cet e-mail afin d’obtenir plus d’informations. Le clic sur le lien redirige alors le destinataire vers un faux site officiel, ou devront être remplis le numéro d'identification fiscale, le numéro de compte bancaire etc, dans le but de régulariser la situation de l’entreprise et de payer une amende pour annuler les fausses poursuites.

5. Le spear phishing, ou « Harponnage »

Le harponnage est une méthode pour faire une attaque de phishing. Pas d’e-mail envoyé en masse cette fois, l’attaque est très ciblée. Cette attaque est méthodique et peu d’ailleurs s’organiser en groupe de pirates. Il s’agit plus généralement d’une attaque sur un haut fonctionnaire, ou des personnes détenant des secrets d’état, des secrets industriels. 

Basée sur de l’espionnage, le ou les pirates vont donc s’introduire dans le système informatisé d’une personne pour connaitre ses pratiques de connexion, ses recherches, ses temps de connexion, ses habitudes en ligne, son emploi du temps etc. 

La compréhension de la cible va permettre au pirate ou à son groupe de définir l’angle le plus efficace pour hameçonner la victime, et lui faire dévoiler les informations confidentielles qu’il détient en fonction de multiples variables. Les pirates vont mêmes jusqu’à infiltrer les réseaux sociaux pour observer quels sont les centres d’intérêts de leur cible, quelles sont ses préoccupations personnelles, ses points de vigilance etc.

6. Le spamdexing, ou phishing par moteur de recherche

Contraction du mot « spam » et du mot « index » pour l’indexation sur les moteurs de recherches, cette pratique frauduleuse consiste à vous amener sur un site frauduleux lors de votre recherche sur internet, en indexant en premier résultat de recherche, son lien frauduleux.

Une fois attiré sur un faux site internet, toutes les interactions avec les liens ou les pages qui en font partie sont exploitables par les pirates. Ils peuvent d’ailleurs se faire passer pour le chatbot du site pour que vous communiquiez toujours plus d’informations sur vous, pour récolter des données sensibles ou des données bancaires par exemple.

Ces sites pirates peuvent se faire passer pour n'importe quel site web, mais la tendance se porterait vers les imitations de site des banques, les imitations de site pour le transfert d'argent, avec des liens piégés qui devraient vous conduire vers les réseaux sociaux, ou encore les faux sites d'achat en ligne.

7. L’hameçonnage sur les réseaux sociaux

Le but est de capter les victimes depuis des réseaux sociaux tels que Facebook, Instagram, Twitter ou encore LinkedIn, soit pour vous faire cliquer au mauvais endroit et voler vos données personnelles, ou bien pour prendre le contrôle de votre propre compte sur les réseaux sociaux, et donc, usurper votre identité.

Voir plus Voir moins
L’hameçonnage en France : les pratiques les plus répandues

L’hameçonnage en France : les pratiques les plus répandues

Nous avons compilé une liste non-exhaustive des attaques de phishing les plus répandues en France en 2021.

1. Les faux messages d’infractions pédopornographiques.

Cette arnaque a été le plus répandue en 2021. L’arnaque consiste en un message se faisant passer pour une autorité publique nationale (police ou gendarmerie) ou européenne (Europol ou Interpole) accusant la victime de pédophilie ou de pédopornographie. Pour ces faits reprochés, il est alors demandé de payer une importante amende de plusieurs milliers d’euros pour éviter les poursuites judiciaires.

2. Les faux messages de remboursement d’impôts ou de la sécurité sociale 

Appels, e-mail, SMS, réseaux sociaux, Ameli.fr n’est pas épargné par les cybercriminels, qui tentent par tous les moyens de tromper les internautes en se faisant passer pour le système de santé français. Sur son site, Ameli.fr donne quelques exemples pour ne pas tomber dans le piège.

3. Les messages d’escroquerie à la livraison de colis 

Pour ce cas, la victime reçoit un message par e-mail ou par SMS, qui semble provenir de sociétés de transport connues. Les messages reçus par SMS affichent généralement :

  • un nom d'expéditeur 
  • le nom d’un service de livraison connu,
  • un numéro de téléphone court à 5 chiffres (commençant par 38) qui ressemble à ceux utilisés par les vrais services de livraison.

Ce message déclare qu'un colis doit vous être livré et que vous devez payer des frais de port ou d'expédition, de TVA ou de douane pour qu’il vous parvienne. 

Un petit montant est réclamé, ce qui incite la victime à en effectuer le paiement, en cliquant sur le lien partagé. 

Ce lien redirigera donc vers un site internet frauduleux en usurpant l'identité de l'entreprise de livraison. Lors du faux processus de paiement, il sera donc demandé à la victime des informations personnelles comme son identité, son adresse postale et/ou électronique, un numéro de téléphone, des coordonnées de carte bancaire, le tout pour régler les prétendus frais de livraison ou douane réclamés.

4. Les messages d’hameçonnage visant les comptes et les cartes bancaires 

La sécurité des moyens de paiement est au cœur du process des cybercriminels, qui utilisaient un faux système de sécurisation de paiement pour pouvoir donner abaisser un peu plus la vigilance de leurs victimes à faire une transaction en ligne. 

5. L’arnaque au compte personnel de formation (CPF) sont toujours d’actualité à la mi-mars 2022.

Par SMS, par e-mail et même par le biais d’appels téléphoniques, l’escroquerie qui visent à vous mettre en confiance pour que vous dévoiliez des informations personnelles, à généralement pour but de pirater votre compte CPF, voir de vous forcer la main pour une utilisation de votre solde. L’expiration de votre solde CPF est souvent l’argument qui fait agir la victime rapidement.

6. Les arnaques aux faux supports techniques, ou « Tech Support Scam »

Le principe est de faire peur à la victime en lui adressant un message (par SMS, téléphone, chat, courriel, ou par l’apparition d’un message sur l’écran de la victime qui bloque son ordinateur) en lui indiquant :

  • un problème technique grave, 
  • un risque de perte de ses données 
  • la perte de l’usage de son équipement 

Cela doit conduire la victime à contacter le prétendu support technique officiel pour le dépanner. Vous l’aurez compris, le pseudo-dépannage informatique et/ou l’achat des logiciels parfois nuisibles recommandés par le faux dépanneur sont payants. Comme élément de pression supplémentaire, si la victime refuse de payer, les cybercriminels se réserve des dernières cartes pour faire plier la victime qui vont de la destruction ou à la perte des fichiers, à la divulgation de ses informations personnelles.

7. L’hameçonnage par SMS, ou smishing et cela concerne tous types d’organisations à but lucratif, mais aussi les associations, ou encore l’administration.

Voir plus Voir moins
Que font les hackers de vos données ?

Que font les hackers de vos données ?

Malheureusement, il n’y a qu’une seule réponse possible à cette question : hackers feront ce qu’ils veulent de vos données.
 
A partir de l’ouverture de ce lien, votre PC sera infecté, et vos données seront accessibles via le logiciel malveillant dans votre appareil électronique ou depuis votre messagerie, et pourront être exploitées par le(s) pirate(s).

1. Quels sont les types de données recherchés et volés par les hackers ? 

a- Les données personnelles:

Si un hacker ou bien un collectif de hackers peut mettre la main (et les yeux) sur vos e-mails, alors jusqu’à quand peuvent-ils éplucher votre vie personnelle dans le temps ? Dites-vous bien qu’en ouvrant votre messagerie, ils peuvent même accéder à vos brouillons, à vos e-mails archivés et à vos spams.

    Il ne faut pas chercher bien loin pour imaginer qu’un pirate puisse accéder à des informations très sensibles, et se livre à du chantage, pour :

    • vous contraindre à dévoiler davantage d’informations sur votre employeur ou sur votre administration,
    • vous pousser à verser des sommes d’argent pour ne pas dévoiler certains éléments de votre vie passée,
    • vous dévoiler votre historique de recherche à votre employeur ou à vos proches,
    • pour récupérer des photos personnelles de vous et/ou de votre entourage,
    • pour accéder à toujours plus de comptes personnelles (réseaux sociaux, identifiants Apple ou Android…)
    • pour revendre vos données sur le Dark Web, à d’autres hackers par exemple…

    Vous pouvez faire travailler votre imagination sans limites, ou vous inspirer des pires scénarios catastrophes de votre dernier film d’action, ou des votre dernière série Netflix.Si tout n’est pas réel, tout est presque faisable.

    b- Les données professionnelles

    Vous êtes un individu, et êtes aussi probablement un salarié, ou travaillez pour le compte d’une organisation à but non lucratif, ou pour l’administration.

    Les hackers peuvent en effet cibler le personnel d’une entreprise par l’intermédiaire de leur boite mail professionnelle par exemple. 

    Ce type d’attaque peut être motivé par de nombreuses raisons.

    Un hacker pourra par exemple divulguer des informations sensibles de votre entreprise à travers vos échanges d’e-mail, voir même effectuer des paiements si accède aux coordonnées bancaires de votre société. 

    Le ou les hackers pourraient tout aussi bien essayer d’accéder aux réseaux des entre¬prises pour les espionner et les infecter avec des programmes malveillants.

    Le phishing pourrait donc n’être qu’une pierre à l’édifice vers un piratage plus dur, et d’autres types d’attaques et d’intrusion comme du harponnage du ransomware, du wiper pour ne citer qu’eux…

    c- Les données bancaires

    Votre carte bancaire et donc, votre compte chèque ne vous appartient plus. Enfin, il ne vous appartient plus vraiment si l’on considère qu’un compte bancaire ne doit pas être partagé avec un(e) inconnu(e). Avec l’hameçonnage, les victimes sont souvent amenées à communiquer leurs coordonnées bancaires aux hackers, en pensant régler une facture à l’administration, ou à un fournisseur habituel du type fournisseur d’accès à internet par exemple. Cela peut même provenir d’un site marchand, si vous entrez vos coordonnées bancaires en pensant finaliser une commande passée sur Amazon, Ebay, la Fnac, Vinted, Wish, Alibaba, Shein etc.

    d- Les données confidentielles et secret défense

    Les états sont eux-mêmes dotés d’hackers, appelés Ethical Hackers ou hackeurs éthiques. Plus exactement, les administrations sont dotées d’une cyber défense et de départements en cybersécurité. L’armée française est aussi dotée d’un département en cyberdéfense, et d’une « armée virtuelle » pour lutter contre les cyberattaques, la cybercriminalité, le vol, l’espionnage et tous types d’intrusions au niveau de l’état.

    Nous écrivons cet article à la mi-Mars 2022, et sommes pour l’heure en France spectateurs d’une cyberguerre à l’Est de l’Europe, et à l’Ouest de l’Asie. Le conflit entre la Russie et l’Ukraine se déroule également sur internet. Gardez vos secrets dans vos têtes. Plus il existe de support numérique qui contiennent de l’information, plus elle devient accessible.

    Les motivations sont nombreuses, et par conséquent, le nombre d’attaque de phishing le sont aussi, et les types de phishing eux aussi se sont multipliés !

    Chez Numeryx, nous avons détecté qu’une grande partie des intrusions pouvaient être empêchées dès lors que vous étiez équipé d’un pare-feu nouvelle génération. C’est pourquoi nous avons développé notre pare-feu DMS-SDWAN

    Voir plus Voir moins
    Comment se protéger contre l’hameçonnage ?

    Comment se protéger contre l’hameçonnage ?

    1. Ne communiquez jamais d’informations sensibles par messagerie ou par téléphone

    2. Avant de cliquer sur un lien douteux, survolez-le (sans cliquer !) 

    Le fait de survoler ce lien affichera l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance (voir : en bas à gauche de votre fenêtre), ou bien, rendez-vous directement sur le site de l’organisme en question par un lien que vous aurez vous-même créé (et placé auparavant dans vos favoris par exemple).

    3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur.

    4. En cas de doute, contactez si possible directement l’organisme concerné

    5. Vérifiez que vous êtes sur un site web sécurisé dont l’adresse commence par « https ».

    6. Utilisez des mots de passe différents et complexes pour chaque site et application

    7. Vérifiez les date et heure de dernière connexion à votre compte. Vous pourrez rapidement identifier si tout correspond avec vos dernières connexions.

    8. Utilisez le filtre contre le phishing du navigateur internet ou sa fonctionnalité d’avertissement contre le phishing. Qu’il s’agisse de la liste noire, de la liste blanche, des mots clés à bannir, toutes ces fonctions aident à maintenir votre vigilance.

    9. Activez la double authentification pour sécuriser vos accès.

    En activant la double authentification, l'accès à vos données sera fait en deux temps :

    1. après la présentation de deux preuves d'identité distinctes (votre mot de passe habituel 
    2. avec le code unique ou une nouvelle clé de sécurité envoyée sur le numéro de téléphone du détenteur du profil ou du compte vers lequel on veut se connecter 

    À chaque connexion à un autre appareil, ces éléments doivent être renseignés, sans quoi l'accès sera refusé.

    10. Vérifiez scrupuleusement l'adresse d'expédition de vos courriels, l'URL du lien hypertexte, et de repérer les fréquentes fautes d'orthographe ou de syntaxe que contiennent ces e-mails. 

    Il est en règle générale toujours déconseillé de renseigner ses coordonnées bancaires suite à la réception d'un e-mail de ce type.

    11. Installez un logiciel anti-spam

    12. Entrer manuellement l'adresse (URL) du site dans le navigateur pour être certain d’accéder à la source que vous souhaitez consulter sur le net,

    13. Téléchargez vos applications uniquement sur les sites officiels

    14. Séparez vos usages personnels et professionnels. Tout concentrer au même endroit, c’est tout rendre vulnérable en cas de cyberattaque,

    15. Évitez les réseaux WiFi publics ou inconnus

    16. Ne laissez surtout pas la main à n’importe quel support technique si votre ordinateur tombe en panne,

    17. Consultez la plateforme Cybermalveillance.gouv.fr qui vous informe et vous donne des conseils pour vous protéger et pour réagir face à tous types d’attaques et d’arnaques en ligne. La plateforme Cybermalveillance.gouv.fr permet à tout internaute de s’informer de manière continue sur les bonnes pratiques à avoir pour la sécurité numérique du grand public, et des entreprises, par de divers canaux de communication comme  sur les réseaux sociaux.

    18. Suivez l’actualité de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)

    Particuliers, entreprises, collectivités, restez informés avec le site de l’ANSSI. Le partage d’info se fait aussi depuis les réseaux sociaux, ou encore sur SoundClound (audio).

    19. Sensibilisez-vous, et informez-vous de manière continue à la cybersécurité

    Sensibilisez les employés, les responsables, les membres de collectivités, le grand public, les étudiants...Cybermalveillance.gouv.fr ou d’autres acteurs du secteur public comme du secteur privé de la sécurité en ligne diffusent et partagent de l’information pour sensibiliser les internautes à la cybersécurité.

    Restez informés, les pratiques malveillantes changent, et se modernisent, les techniques des cybercriminels et les cybercriminels sont de plus en plus nombreux, les moyens de protection eux aussi évoluent et nécessite une veille régulière pour se protéger et protéger ses données.

    20. Suivez aussi l’actualité de Numeryx !

    Voir plus Voir moins
    Que faire en cas d’hameçonnage ?

    Que faire en cas d’hameçonnage ?

    Dans la mesure ou vous êtes déjà victime d’un hameçonnage, vous aurez plusieurs options :

    1. Faites opposition auprès de votre banque si vous avez communiqué des éléments sur vos moyens de paiement ou si vous constatez des débits frauduleux sur votre compte bancaire. Votre responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à votre insu, l'instrument de paiement ou les données qui lui sont liées (article L.133-19 II du Code monétaire et financier)

    2. Contactez votre service informatique (entreprise) ou un expert en sécurité informatique pour vous conseiller.

    3. Renouvelez immédiatement les identifiants et/ou mots de passe des comptes compromis 

    4. Déposer une pré-plainte en ligne pour faciliter les démarches.

    La pré-plainte en ligne permet un signalement immédiat des faits commis, de prendre rendez-vous à distance pour un dépôt de plainte, et donc, de réduire le délai d'attente lors du dépôt de plainte dans les locaux de la police ou de la gendarmerie.

    4.1. La pré-plainte en ligne, comment ça marche ?

    a. La victime effectue une télé-déclaration sur le site : www.pre-plainte-en-ligne.gouv.fr , et renseigne un formulaire de pré-plainte.

    b. La victime choisira ensuite le commissariat ou la brigade de gendarmerie où elle souhaite venir signer sa plainte, ainsi que la date de son rendez-vous.

    c. La victime sera donc contactée par les services de police ou de gendarmerie pour confirmer le rendez-vous, et pour l’informer des pièces nécessaires à fournir lors du dépôt de plainte.

    Attention : une pré-plainte en ligne ne se substitue pas à une plainte en commissariat ou en brigade de gendarmerie, mais elle permet d'effectuer une pré-déclaration en ligne pour une atteinte aux biens, vol ou escroquerie. 

    La valeur juridique d’une plainte prend effet après avoir dressé et signé un procès-verbal avec un agent de police judiciaire ou un gendarme.

    En savoir plus sur le site de la gendarmerie nationale

     

    5. Déposez plainte auprès du commissariat de police ou de la gendarmerie dont vous dépendez en fournissant tous les éléments de preuve en votre possession. Pour rappel :

    • Le dépôt de plainte permet à une personne d'informer la justice qu'une infraction a été commise et dont elle se dit victime. 
    • La poursuite de la plainte peut entraîner la sanction pénale de l'auteur. 
    • La victime peut se constituer partie civile si elle souhaite obtenir réparation de son préjudice (dommages-intérêts). 
    • Si la victime ne connaît pas l'auteur, elle doit porter plainte contre X.

    6. Contactez le service téléphonique "Info Escroqueries" pour être conseillé en cas d’hameçonnage. Mise en place par l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), la plate-forme « Info Escroqueries » est composée de policiers et de gendarmes qui sont chargés d’informer, de conseiller et d’orienter les personnes victimes d’une escroquerie. 

    Suite aux recueils de ces plaintes, les équipes de l'OCLCTIC se chargent de recouper un maximum de plaintes, afin de les exploiter et de mettre fin aux pratiques malveillantes sur le net.

    Si vous souhaiter contacter "Info Escroquerie" vous pouvez donc téléphonez au 0 805 805 817 (numéro vert, appel gratuit du lundi au vendredi de 9h à 18h30). 

    L’OCLCTIC dépend de la police nationale et plus particulièrement de la Sous-Direction de lutte contre la cybercriminalité (SDLC). 

    Voir plus Voir moins
    Qui contacter en cas d’hameçonnage

    Qui contacter en cas d’hameçonnage ?

    1. Signalez le phishing à Signal-spam.frSignaler, c’est agir. Signal-spam.fr est une plateforme qui permet de recueillir toutes les informations techniques nécessaires à l’identification d’un spammeur, ou d’un spam de nature cybercriminelle. Suite à votre signalement, a ceux de la communauté et à l’étude des spams qui peuvent s’avérer être des phishing, Signal Spam se charge de redistribuer les informations utiles à la lutte anti spam, qui permettra donc d’avertir et protéger les futures cibles du phishing qui vous a touché.

    2. Signaler l'adresse du site d'hameçonnage à Phishing-initiative.fr qui vérifiera s'il s'agit d'un site d'hameçonnage et s'il est avéré qu'il s'agit bien d'un tel site, le fermera. Depuis le site Phishing-Initiative.fr, vous pourrez :

    • vérifier si l’adresse du site sur lequel vous êtes est un site frauduleux (signalée par la communauté en ligne),
    • signaler l’adresse que vous avez repérée comme étant frauduleuse si elle n’est pas déjà reconnue comme telle (à l’attention de tous les internautes)

    Si il avérer que l’adresse est frauduleuse, il y aura alors un blocage de cette dernière dans les navigateurs.

    3. Signalez l'incident sur le site du gouvernement PHAROS 

    Pharos est l’acronyme de "Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements".

    Comme pour la plateforme « Info Escroqueries » présentée plus haut dans cet article, cette plateforme est également gérée par l’OCLCTIC et donc, la Police Nationale.

    Cette plateforme en ligne aussi appelée « Portail de Officiel de Signalement des Contenus Illicites de l’Internet » permet comme son nom l’indique de signaler des contenus et comportements illicites en ligne.

    4. En cas smishing, de SMS ou de MMS abusif ou frauduleux, transférer au numéro de téléphone suivant : 33700

    Ce dispositif d'alerte par SMS a été créé par les opérateurs télécoms, les éditeurs de services et les hébergeurs, en concertation avec le Secrétariat d'Etat chargé de l'Industrie et de la Consommation.
    A la suite de votre transfert de message, vous recevrez dans un second temps un message vous demandant d'envoyer au 33700 le numéro depuis lequel vous avez reçu le SMS abusif. 

    Ces informations seront transmises aux opérateurs télécoms, y compris le vôtre, qui pourront agir rapidement auprès des organismes à l'origine de ces sms.
    L'envoi d'un SMS au 33700 est gratuit pour les clients Bouygues Telecom, Orange et SFR.

    Pour en savoir plus à propos du numéro de signalement de SMS et MMS frauduleux, rendez-vous sur le site www.33700-spam-sms.fr 

    Voir plus Voir moins
    Le phishing dans le monde en chiffres et en statistiques

    Le phishing dans le monde en chiffres et en statistiques

    1. 75% des organisations dans le monde ont été touché par l’hameçonnage en 2020, selon Tessian
    Source : Tessian - Phishing Attacks Statisctics 2020

    2. 96% des attaques de phishing se font par e-mail, selon Verizon
    Source : Verizon (Data Breach Investigations Report 2021

    3. Google a découvert plus de 2.1 millions de sites de phishing en janvier 2021, un chiffre en constante augmentation.
    Source : Google Safe Browsing (janvier 2021), 

    4. 1 e-mail sur 4200 serait un e-mail d’hameçonnage, selon Symantec
    Source : Symantec (Threat Landscape Trends – Q1 2020)

      5. Le PDF est le type de document le plus corrompu attaché aux e-mail de phishing, selon Tessian
      Source : Tessian - Phishing Attacks Statisctics 2020

      6. Le top 3 des types de données les plus compromises dans une attaque de type phishing, selon Verizon 

      • Les identifiants (mots de passe, nom d’utilisateurs, codes PIN…)
      • Les données personnelles (nom, prénoms, adresses postales, adresses électroniques…)
      • Les données médicales (les informations sur les traitements médicaux suivis, les demandes d’indemnisation…)

      La majeure partie de ces données récoltées permettent aux cybercriminels de mieux comprendre comment passer à l’étape liée à l’extorsion d’argent.

      Source Verizon Data Breach Investigations Report 2021

      7. Le top 5 des secteurs d’activité les plus touchés par employés, selon Tessian  

      • Le commerce de détail (retail) avec environ 49 e-mails frauduleux envoyé à chaque employé par an.
      • L’industrie manufacturière (manufacturing) avec environ 31 e-mails frauduleux envoyé à chaque employé par an.
      • La restauration (Food and beverage) avec environ 22 e-mails frauduleux envoyé à chaque employé par an.
      • La Recherche & Développement (R&D) avec environ 16 e-mails frauduleux envoyé à chaque employé par an.
      • La Tech avec environ 14 e-mails frauduleux envoyé à chaque employé par an.

      Source : Tessian’s 2021 research

      8. En 2025, le coût de la cybercriminalité pour la société et pour les entreprises devraient s’élever à 10 500 milliards de dollars. Une véritable industrie parallèle globalisée. Source : Cybersecurity Ventures

      9. Plus de 80% des événements en cybersécurité impliquent des attaques de phishing.
      Source : Email Threat Report 2020, Teiss

      10. Le top 3 des pays hébergeurs d’attaques de phishing sont :

      • les États-Unis, 
      • la Russie 
      • les îles Vierges britanniques.
      Voir plus Voir moins

      Auteur

      Colas Bonvicini

      Articles associés