Les cyberattaques contre les particuliers et les entreprises ne cessent de se multiplier ces dernières années. L’une des techniques les plus pernicieuses est le phishing. L’assaillant se fait passer pour une société, une organisation ou une personne de confiance, afin de dérober des données personnelles ou de l’argent. En 2019, 88% des entreprises dans le monde ont subi des attaques de ce type. En France, des cybercriminels peuvent notamment usurper l’identité de la SFAM pour vous tromper, par téléphone ou par mail. Quelques réflexes simples permettent pourtant de se prémunir de l’essentiel des risques de fraude et de phishing. La SFAM vous explique tout, suivez le guide !
Parmi toutes les techniques de cyberattaque, le phishing (ou “hameçonnage”, en français) demeure l’une des plus utilisées. Elle peut en effet s’avérer d’une redoutable efficacité. Le mode opératoire est désormais classique. La victime reçoit un message prétendument envoyé par une entreprise ou une personne de confiance (ou en détresse), qui lui demande d’agir urgemment.
Fraude et phishing : des modes opératoires bien connus
Les ressorts sont presque toujours les mêmes : faire peur (“votre compte risque d’être supprimé”, “vous risquez une amende”…), appuyer sur l’appât du gain (“nous devons vous rembourser une somme”…), jouer sur la générosité ou la compassion (“j’ai besoin de votre aide”…). L’assaillant pousse ensuite la victime à révéler des données personnelles (nom, adresse, mail, numéro de téléphone…), parfois sensibles (coordonnées bancaires, orientation sexuelle, état de santé…), voire à envoyer directement de l’argent.
La fraude la plus classique (et historiquement la première) est le phishing par mail. Mais les cybercriminels ont depuis étendu cette fraude aux réseaux sociaux, à l’appel vocal (vishing) et aux SMS (smishing). Le phénomène a pris une ampleur inédite ces dernières années. Une étude révèle ainsi que 88% des entreprises dans le monde ont fait face, en 2019, à au moins une attaque par mail, 86% via les réseaux sociaux, 84% par smishing et 83% par vishing. Mais les particuliers sont aussi concernés.
Les pirates usurpent l’identité de tiers de confiance, dont SFAM
Récemment, la France a par exemple fait face à une vague de SMS et de mails prétendument envoyés par la Poste. En vous proposant de récupérer un colis, les assaillants visaient vos données personnelles, notamment bancaires. D’autres attaques en vogue vous proposent des fausses mises à jour, notamment de votre navigateur. Autre cas classique : les pirates prennent l’identité de grandes figures mondiales, comme Greta Thunberg, ou d’organisations caritatives, notamment durant le premier confinement.
Des pirates usurpent également régulièrement le nom de SFAM, par téléphone ou par mail. Par téléphone, le pirate se fait passer pour un téléconseiller SFAM. Ce dernier prétexte un soucis avec votre contrat, qui doit être réglé le plus vite possible. Il peut s’agir d’une mise à jour de votre contrat, d’un remboursement ou d’un paiement manquant qui menace vos garanties. Le faux conseiller peut alors vous demander de rappeler un numéro surtaxé, et les criminels encaisseront les frais occasionnés. Plus pernicieux : il peut vous convaincre de lui communiquer vos coordonnées bancaires, pour régler votre cotisation ou vous faire rembourser.
Le phishing par mail quant à lui reproduit à la perfection les e-mails envoyés par la SFAM à ses clients. Mais le message prétend que les services concernés ont perdu vos coordonnées. Vous êtes ensuite dirigés, via un lien, vers un site frauduleux, où on vous invite à renseigner vos coordonnées bancaires ou votre identifiant et votre mot de passe.
Les bonnes pratiques pour se prémunir de la fraude et du phishing
Comment se prémunir efficacement contre de tels agissements ? Pour commencer, méfiez-vous toujours quand un message vous demande d’agir dans l’urgence. De même, toute demande concernant vos identifiants, votre mot de passe, ou vos coordonnées bancaires, doit vous mettre la puce à l’oreille. Ensuite, vérifiez l’authenticité du message. Par mail, regardez bien l’adresse qui vous l’a envoyé. Même si le nom de l’expéditeur (celui qui apparait dans votre boite de réception) est bien celui d’un service ou d’un proche de confiance, vous pouvez trouver dans l’adresse mail (visible dans l’onglet “De :” du corps du mail) des noms de domaine inconnus ou fantaisistes. Dans ce cas, qualifiez immédiatement le mail comme spam, et signalez-le.
Ne cliquez surtout pas sur un lien sans avoir effectué ces vérifications. De façon plus générale, soyez extrêmement attentif avec les liens. S’ils vous envoient vers des pages non-sécurisées (sans petit cadenas à coté de l’adresse) ou dont le nom de domaine ne correspond pas à celui de votre service habituel, fuyez ! N’hésitez pas, d’ailleurs, à comparer le site avec le site authentique du service ou de la société censée vous contacter.
Enfin, méfiez-vous des pièces jointes – même si vous avez confiance en l’expéditeur, car rien ne vous garantit qu’il ne s’est pas fait lui-même pirater -. Globalement, à moins que vous n’ayez demandé à télécharger un programme, vous n’avez aucune raison de recevoir des pièces jointes en .pif, .bat, .exe, .vbs ou .lnk. N’ouvrez jamais des fichiers de ce type – et, plus généralement, tout fichier dont l’extension vous est inconnue ou ne correspond pas au fichier transmis.
Contactez directement le service qui vous réclame des informations, comme les conseillers SFAM, toujours à votre écoute
Au moindre doute, n’hésitez pas à contacter directement le service concerné, via un mail ou un numéro de confiance. Dans le cas de SFAM, les conseillers sont toujours à l’écoute pour vérifier avec vous l’authenticité d’un mail ou d’un SMS.
Par téléphone, ne rappelez jamais un numéro potentiellement surtaxé – c’est à dire tous les numéros commençant par 081, 082, 089, ou les numéros à quatre chiffres commençant par le 1 ou le 3. Si vous retrouvez un message suspect sur votre répondeur, supprimez-le. Si vous êtes en ligne avec un conseiller qui vous a appelé et vous dit qu’il fait partie de SFAM, ne lui communiquez jamais vos données personnelles (code de votre espace client, pièce d’identité, etc.) ou vos coordonnées bancaires. Là encore, en cas de doute, contactez immédiatement SFAM, par téléphone, mail ou courrier, en utilisant bien les coordonnées indiquées sur le site Internet.
Que faire si le mal est fait ?
Mais que faire si, malgré ces précautions, vous êtes tombé dans le piège de la fraude et du phishing ? Soyez réactif : agir le plus vite possible permet d’éviter que les assaillants tirent bénéfice des informations dérobées.
Si vous avez simplement communiqué votre identifiant ou votre mot de passe, comme dans le cas de la SFAM, modifiez-les immédiatement. Globalement, toute information transmise doit être modifiée dès que possible. Si vous avez révélé des informations bancaires, faites immédiatement opposition sur votre carte bleue. Puis changez les mots de passe de vos comptes bancaires en ligne et de tous les comptes où vos coordonnées bancaires sont disponibles. Rendez-vous ensuite au commissariat ou à la gendarmerie pour porter plainte. Dans le cas d’un appel surtaxé, vous pouvez contacter votre opérateur téléphonique, pour voir si vous pouvez vous faire rembourser.
Vous pouvez enfin signaler la tentative de fraude ou de phising. Le site de la CNIL recense les différents portes auxquelles frapper pour cela.
