Le phishing, également connu sous le nom d’hameçonnage en français, est une technique largement utilisée par les cybercriminels pour voler des informations personnelles et/ou bancaires aux internautes. Il se manifeste via des courriers électroniques, des SMS, voire des appels téléphoniques, dans le but de se faire passer pour une entité de confiance telle qu’une banque, une administration, un réseau social ou une entreprise de livraison. Le but ultime est de tromper la victime afin qu’elle partage ses données d’identité, ses mots de passe ou même ses numéros de carte bancaire. Ces informations obtenues grâce au phishing sont ensuite soit utilisées directement par les escrocs, soit revendues à d’autres cybercriminels pour mener diverses opérations frauduleuses, telles que le piratage de comptes en ligne, la fraude à la carte bancaire, l’usurpation d’identité ou encore l’hameçonnage ciblé sur la victime.
Ce dossier regroupe toutes nos ressources de sensibilisation dédiées à cette fraude majeure, qui constitue la principale menace en ligne ciblant les particuliers, les entreprises, les collectivités, les administrations et les associations.
1. Le phishing : définition et généralités
Qu’est-ce que le phishing ? Comment le reconnaître et s’en prémunir ? Que faire en cas de victime de phishing ? Quelles infractions peuvent être retenues contre les auteurs de cette arnaque en ligne ? Retrouvez tous nos conseils dans notre article dédié, ainsi que de manière plus concise dans nos fiches réflexe et mémo. Vous pouvez également consulter notre article sur le phishing par SMS, également appelé “smishing”. Ce phénomène connaît une croissance rapide depuis 2020.
Image: “Phishing ou hameçonnage – Escroquerie sur Internet : comment ne pas se faire avoir ?” – Consomag réalisé en partenariat avec l’INC.
2. Les formes les plus courantes de phishing
Cybermalveillance.gouv.fr constate régulièrement de nombreuses campagnes de phishing usurpant l’identité de diverses entreprises ou administrations. Les thématiques utilisées par les cybercriminels varient, mais l’objectif reste le même : voler des informations confidentielles, personnelles ou professionnelles, pour les utiliser de manière frauduleuse.
Retrouvez ci-dessous nos articles sur les méthodes de phishing les plus fréquemment utilisées par les escrocs en ligne. Ils analysent les mécanismes de ces tentatives d’escroquerie et vous fournissent des conseils pour vous en prémunir et y faire face en cas de victime.
1. Le phishing aux couleurs des impôts
Les messages frauduleux aux couleurs de la Direction Générale des Finances Publiques (DGFiP) et de son portail Internet Impots.gouv.fr ciblent aussi bien les particuliers que les entreprises. Ils proposent de faux remboursements, demandent le règlement d’un impayé, ou encore réclament des informations personnelles et/ou professionnelles. Cet article décrit les différentes techniques utilisées par les cybercriminels et vous donne les moyens de les déjouer.
2. Le phishing bancaire et la DSP2
Une autre méthode courante de phishing consiste à usurper l’identité d’établissements bancaires (La Banque Postale, Crédit Agricole, BNP Paribas…) ou de services de paiement tels que PayPal. Cybermalveillance.gouv.fr a constaté de nombreuses campagnes malveillantes exploitant le thème de la sécurité des comptes bancaires en lien avec la mise en œuvre de la deuxième Directive européenne sur les Services de Paiements (DSP2). Les messages trompeurs tentent d’inciter les victimes à communiquer leurs informations de connexion à leur compte bancaire en ligne et/ou leur numéro de carte de paiement.
3. Les escroqueries à la livraison de colis
Ce type de phishing usurpe l’identité de sociétés de livraison telles que La Poste, Colissimo, DPD, Chronopost, UPS. Il prétend qu’il y a un problème avec la livraison d’un colis et demande un paiement de faible montant pour résoudre la situation. L’objectif est de voler les informations de carte bancaire des victimes, ainsi que leurs coordonnées postales et téléphoniques. D’autres variantes existent, telles que la souscription à un abonnement non souhaité, l’installation de virus ou encore la fraude au faux support technique.
4. Les escroqueries à la loterie
Ce type de phishing démarre généralement par un courrier électronique qui usurpe l’identité d’entreprises organisatrices de jeux de loterie. Le message indique à la victime qu’elle a été tirée au sort et qu’elle a remporté une importante somme d’argent. Elle est ensuite incitée à communiquer des informations personnelles à un prétendu avocat, notaire ou huissier de justice chargé de remettre les gains. Les informations obtenues sont utilisées par les escrocs à des fins frauduleuses.
5. L’escroquerie à la fausse commande
Dans cette escroquerie, les cybercriminels usurpent l’identité d’un site marchand ou d’un service de paiement pour faire croire à la victime qu’une commande a été passée en son nom. Le message frauduleux indique une identité et une adresse de livraison erronées et propose à la victime d’annuler la commande pour obtenir un remboursement. L’objectif est d’inciter la victime à fournir ses informations personnelles et de carte bancaire pour invalider cet achat supposé.
6. Le phishing aux couleurs de l’Assurance Maladie (Ameli)
Dans cette catégorie de phishing récurrent, la victime reçoit un message (par courrier électronique ou SMS) semblant provenir de l’Assurance Maladie ou de son portail Internet Ameli. Le message annonce un remboursement en attente ou la disponibilité d’une nouvelle carte Vitale. La victime est incitée à cliquer sur un lien qui la redirige vers un site frauduleux d’apparence officielle, où elle est amenée à renseigner ses informations personnelles et de carte bancaire qui seront ensuite utilisées à des fins malveillantes.
7. Le phishing à la vignette Crit’Air
Ce type de phishing, apparu à l’automne 2022 en lien avec l’actualité, prend la forme d’un message (SMS ou courrier électronique) mentionnant une obligation de commander rapidement une vignette Crit’Air pour se conformer à la réglementation en vigueur, sous peine d’amende. Le message contient un lien vers un site frauduleux d’apparence officielle, où la victime est incitée à renseigner ses informations personnelles et de carte bancaire, qui sont ensuite utilisées à des fins frauduleuses.
8. Le phishing à la contravention
Depuis le début de l’année 2023, Cybermalveillance.gouv.fr a identifié d’importantes vagues de messages frauduleux par courrier électronique ou SMS qui usurpent l’identité de l’ANTAI (Agence Nationale de Traitement Automatisé des Infractions) et/ou du service de paiement en ligne des amendes, Amendes.gouv.fr. Ces messages réclament le paiement d’une contravention sous peine de pénalités ou de poursuites. Les victimes sont redirigées vers un site frauduleux d’apparence officielle, où elles sont invitées à fournir leurs informations personnelles et de carte bancaire. Les informations obtenues sont ensuite utilisées à des fins malveillantes.
3. Autres types d’escroquerie basée sur l’usurpation d’identité
Similaires au phishing, d’autres tentatives d’escroquerie se basent sur l’usurpation d’identité pour tromper leurs victimes. Alors que le phishing a pour objectif de voler des informations personnelles et/ou professionnelles pour un usage malveillant ultérieur, ces méthodes visent principalement à dérober directement de l’argent aux victimes. Voici quelques exemples :
- L’escroquerie aux faux ordres de virement (FOVI) : elle consiste à se faire passer pour un dirigeant, un fournisseur ou un employé afin de faire réaliser un virement frauduleux sur le compte du cybercriminel.
- Les messages d’escroquerie usurpant l’identité de la Police et de la Gendarmerie : ils menacent la victime de poursuites pour des faits de pédopornographie si elle ne paie pas une forte amende.
- Les fausses propositions d’emploi : dans ce cas, les escrocs se font passer pour un employeur afin de voler des informations personnelles et d’escroquer la victime.
- L’arnaque au faux support technique : elle vise à faire payer à la victime un prétendu dépannage informatique réalisé à distance.
- Les escroqueries au Compte Personnel de Formation (CPF) : elles usurpent souvent l’identité d’un organisme officiel (Pôle Emploi, Moncompteformation.gouv.fr…) afin de détourner les fonds du compte formation de la victime.
- Le chantage à la webcam piratée : les escrocs prétendent avoir piraté l’ordinateur ou le téléphone mobile de la victime et la menacent de divulguer des informations et des vidéos prises à son insu si elle ne paie pas une rançon.
- Les messages d’arnaque à la menace de mort ou d’agression : ils sont envoyés par un prétendu tueur à gages et visent à effrayer la victime pour lui extorquer de l’argent.
4. Nos supports PDF dédiés au sujet
Pour approfondir votre connaissance du phishing et de ses différentes formes, nous vous proposons également une sélection de supports PDF. Ces ressources vous offrent des informations détaillées et des conseils pratiques pour vous protéger contre cette arnaque en ligne qui peut avoir de lourdes conséquences.
N’hésitez pas à consulter ces documents pour vous informer et sensibiliser votre entourage à ce phénomène croissant. Restez vigilant et protégez-vous contre le phishing !
