Les arnaques par e-mail, bien qu’assez récentes par rapport à l’existence d’Internet, ne sont qu’une évolution moderne des escroqueries plus anciennes, telles que les arnaques par courrier ou celles visant à extorquer de l’argent à un passant pour « faire le plein car on est en panne ».
Il est important de comprendre que ce n’est pas la technologie en elle-même qui crée les arnaques, mais plutôt son ampleur et son potentiel qui facilitent leur propagation, touchant ainsi un nombre croissant de personnes et de victimes.
Il est essentiel de réaliser que personne n’est à l’abri et qu’ignorer ce problème en indiquant « Je ne clique jamais sur les liens, donc je suis protégé » n’est pas suffisant pour se prémunir.
Bien que nous soyons fiers de dire que nous n’avons jamais été victimes d’une arnaque, il est courant de voir des individus instruits et des organisations bien structurées se faire dérober des sommes considérables. Un exemple frappant est celui de KPMG, grand cabinet de conseil et de comptabilité, qui a perdu 7,6 millions d’euros en 2016 à cause de l’arnaque connue sous le nom de « fraude au président ».
Dans cet article, nous allons examiner une méthode courante d’escroquerie et vous fournir des conseils pratiques pour vous en protéger.
Qu’est-ce que le phishing ?
Le phishing ou « hameçonnage » est une technique utilisée par les escrocs pour obtenir des informations personnelles dans le but de commettre une fraude. Cela peut inclure l’accès à vos comptes bancaires, vos informations de carte de crédit, ou d’autres données sensibles.
Comment fonctionne une arnaque typique ?
Prenons l’exemple récent d’un client qui a été victime de cette méthode. Ce dernier a reçu un SMS provenant d’un site qui semblait être celui de son assurance maladie, lui demandant de confirmer ses coordonnées bancaires pour une intervention médicale à venir. Ce site avait toutes les apparences de légitimité : nom, date de naissance, numéro de sécurité sociale, et détails précis sur l’intervention médicale prévue. Cependant, il s’agissait d’un site frauduleux.
Peu après, la victime reçoit un appel d’un soi-disant « conseiller antifraude » de sa banque, le LCL. L’appelant avait non seulement accès à ses coordonnées bancaires personnelles, mais aussi à des informations sur un compte professionnel à la Société Générale. Cet escroc, se faisant passer pour un employé de la banque, a prétendu que la victime avait été piratée et a commencé à effectuer des transactions frauduleuses.
La fraude à l’ingénierie sociale a cette particularité qu’elle intervient souvent en deux étapes avec des rebondissements qui ont pour but de jouer sur les biais cognitifs de la victime.
« Je ne clique jamais sur les liens, donc je suis protégé »
Effectivement, c’est une attitude prudente. Mais elle est malheureusement insuffisante. C’est une compréhension du procédé et des méthodes des arnaqueurs qui va vous permettre de vous protéger efficacement.
Il est possible de réduire votre vigilance par un appel en vous expliquant qu’une autre personne a cliqué sur un lien à votre place.
Vos informations peuvent être compromises par une faille de sécurité sur un service que vous utilisez, comme une banque ou un réseau social, même si vous n’avez personnellement répondu à aucune tentative de phishing.
Certains escrocs utilisent des techniques d’ingénierie sociale pour manipuler d’autres personnes autour de vous (comme des membres de la famille) pour obtenir des informations vous concernant ou accéder à vos comptes.
Certaines arnaques peuvent être si bien conçues qu’elles ne nécessitent pas une réponse directe de votre part pour être efficaces. Par exemple, un escroc pourrait utiliser des informations publiques pour ouvrir des comptes en votre nom sans jamais vous contacter directement.
Comment les escrocs semblent ils crédibles ?
Les escrocs utilisent des informations obtenues de manière illégale pour gagner la confiance de leurs victimes. Souvent, ils ont accès à des données qui semblent confidentielles, comme dans l’exemple ci-dessus où le fraudeur connaissait des détails médicaux précis et des informations bancaires. Ce type de détail renforce l’illusion de légitimité.
Il est essentiel de comprendre que le simple fait de connaître votre numéro de téléphone, votre RIB ou d’autres détails personnels n’est pas une preuve d’authenticité. Ces informations peuvent être obtenues ou achetées par des criminels sur des plateformes en ligne, souvent issues de fuites de données ou de transactions sur des sites de e-commerce.
Recommandations pour se protéger
Voici quelques conseils pour éviter de tomber dans le piège du phishing :
1. Contactez directement votre institution :
Si vous recevez un appel ou un message vous demandant des informations personnelles ou financières, ne répondez pas directement, raccrochez et appelez votre banque à son numéro officiel, ou rendez-vous en agence pour parler à un conseiller. Ceci est particulièrement important lors des vacances ou lorsque vous êtes moins disponible, périodes souvent ciblées par les escrocs.
2. Ne partagez jamais vos informations confidentielles :
Aucune institution financière légitime ne vous demandera vos codes d’accès ou codes de carte bleue par téléphone ou par e-mail. Elles ne vous demanderont jamais non plus de réaliser une opération via votre application pour « annuler une arnaque ».
3. Utilisez des mots de passe forts et uniques :
Évitez d’utiliser des informations personnelles, comme votre date de naissance, comme mot de passe. Privilégiez des combinaisons complexes et distinctes pour chaque compte, ou utilisez un gestionnaire de mots de passe pour renforcer votre sécurité. Plus d’informations sur les avantages des gestionnaires de mots de passe peuvent être trouvées sur le site de la CNIL : Gestionnaires de mots de passe – CNIL.
L’importance d’utiliser un mot de passe unique est cruciale, un peu comme avoir des clés différentes pour chaque serrure de votre maison.
En mai 2024, le site HaveIbeenpwned.com, qui surveille les fuites de données, indique que plus de 13 milliards d’adresses email ont été exposées dans des bases de données illégales. Ces bases contiennent souvent des combinaisons d’adresses email et de mots de passe.
Si votre adresse y figure, cela signifie que quelqu’un pourrait avoir copié la clé de votre maison virtuelle, rendant tout ce qui y est stocké vulnérable. Utiliser un mot de passe unique pour chaque compte est donc comme avoir un trousseau de clés distinct pour chaque serrure, empêchant ainsi l’accès général en cas de compromission d’une seule clé.
5. Soyez prudent avec les liens et pièces jointes :
Les adresses URL peuvent souvent indiquer une tentative d’arnaque. Cependant, même des messages de fournisseurs légitimes peuvent sembler suspects. En cas de doute, ne cliquez pas sur les liens reçus par SMS ou e-mail ; allez plutôt directement sur le site officiel en tapant manuellement l’adresse dans votre navigateur.
6. Surveillez vos comptes :
Gardez un œil régulier sur vos transactions bancaires. Plus vite vous détectez une activité suspecte, plus vite vous pouvez réagir.
En appliquant ces conseils, vous augmenterez considérablement vos chances de vous protéger contre les arnaques de phishing et autres formes de fraude numérique. Restez informés, restez vigilant, et protégez vos données personnelles.
Crédits:
Image by Freepik
