Des abonnements
pour l'enrichissement
06 mai 2024 | La Revue POLYTECHNIQUE | Sécurité

Hameçonnage (Phishing), vishing, smishing ? Un peu de voc.

Office fédéral de la cybersécurité

L’hameçonnage (phishing) consiste en des tentatives de fraude où des criminels, se faisant passer pour des entités fiables, cherchent à obtenir des informations confidentielles comme des mots de passe ou des données bancaires via des emails contenant des liens vers des sites falsifiés. Si des données sont divulguées, il est crucial de changer les mots de passe et de contacter les émetteurs de cartes. Le vishing, une variante téléphonique du phishing, implique des appels de faux professionnels demandant des informations sensibles. Il faut rejeter ces appels et ne jamais partager d’informations. Le smishing, similaire mais par SMS, utilise souvent des notifications d’envoi de colis pour piéger les victimes à divulguer des informations en cliquant sur des liens malveillants.

Hameçonnage (Phishing)

Par l’hameçonnage (ou phishing), des criminels tentent d’amener leurs victimes à divulguer leurs mots de passe et d’autres informations personnelles.Par l’hameçonnage, des criminels tentent d’accéder aux données confidentielles d’utilisateurs ne se doutant de rien. Il peut s’agir par exemple des données d’accès de comptes de messagerie, de soumissionnaires de ventes aux enchères en ligne ou de données de cartes de crédit. Les pirates font appel à la bonne foi, à la crédulité ou à la serviabilité de leurs victimes en leur envoyant des courriels avec des adresses d’expéditeur falsifiées. Ces courriels signalent par exemple à la victime que les informations concernant son compte et ses données d’accès (p. ex. nom d’utilisateur et mot de passe) ne sont plus d’actualité ou ne sont plus sécurisées, les invitant à les modifier à l’aide d’un lien indiqué dans le courriel. De fait, le lien n’aboutit pas sur le site du fournisseur de services (p. ex. la banque), mais sur un site à l’identique falsifié par les pirates.

 Mesures concrètes

  • Dès que vous remarquez avoir indiqué votre mot de passe sur une page d’hameçonnage, modifiez-le immédiatement pour tous les services où vous utilisez ce même mot de passe.
  • Si vous avez communiqué les données de votre carte de crédit, adressez-vous immédiatement à l’émetteur de la carte afin qu’il puisse la bloquer.
  • Si vous avez divulgué le mot de passe d’une adresse électronique, réinitialisez aussi tous les mots de passe des prestataires de services web qui sont en relation avec ce compte.

Vishing

Le vishing (contraction de «voice phishing») est une méthode d'hameçonnage par téléphone qui vise à accéder à des données sensibles. Celle-ci consiste à contacter les victimes de vive voix, généralement par téléphone, et à les inciter à effectuer certaines actions en leur faisant croire qu'elles agissent dans leur propre intérêt.Les tentatives de vishing sont très souvent difficiles à identifier, les personnes qui appellent pouvant notamment falsifier à leur guise le numéro de téléphone affiché (spoofing). Lorsque ce dernier est connu ou apparemment fiable, l'identification du correspondant devient compliqué, et les victimes ne se rendent généralement compte de la supercherie qu'après avoir révélé leurs informations de connexion. Il existe toutefois quelques signaux d'alerte qui permettent de déceler les escroqueries potentielles:

  • Dans de nombreux cas, les escrocs se présentent comme des experts ou des professionnels dans leur domaine, se faisant passer pour des informaticiens, des banquiers ou des policiers. Ils peuvent même prétendre être eux-mêmes des victimes.
  • Ils font pression sur leurs victimes.
  • Ils réclament des informations confidentielles par téléphone.

 Mesures concrètes

  • Mettez immédiatement fin aux appels téléphoniques douteux.
  • Ne révélez jamais d'informations sensibles telles que des données de carte de crédit ou des mots de passe par téléphone.
  • N'ouvrez pas de page Internet et n'installez aucun programme, même si la personne qui vous contacte l'exige.
  • N'ouvrez pas les pièces jointes ou les liens contenus dans des courriels que la personne vous envoie avant, pendant ou après l'appel téléphonique.
  • Ne permettez jamais à une personne qui vous appelle d'accéder à votre ordinateur à distance.

Smishing

Le vol de données est aussi possible par SMS. Le smishing (contraction de «SMS» et de «phishing»), aussi appelé hameçonnage par SMS, consiste à se servir de SMS ou d'autres messages texte pour inciter une victime potentielle à cliquer sur un lien et, ainsi, à transmettre des informations d'ordre privé à l'escroc.Les auteurs de messages de smishing se font généralement passer pour des expéditeurs dignes de confiance, comme des détaillants ou des entreprises de logistique connus. Les messages prennent par exemple la forme d'avis d'envoi de colis accompagnés d'un lien qui conduit généralement à une page spécialement préparée par les escrocs et sur laquelle il faut saisir des données personnelles ou les détails de sa carte de crédit.

 Mesures concrètes

  • Ignorez les avis d'envoi de colis qui exigent le paiement de frais.
  • En cas de doute, et si vous attendez un colis, renseignez-vous directement auprès de l'entreprise de livraison concernée.
  • N'utilisez que l'application officielle de l'entreprise de livraison.
  • Si vous avez un doute concernant l'expéditeur d'un SMS, ne cliquez sur aucun lien et ne répondez pas au message.
  • Ne téléchargez pas d'application même si on vous le demande.