Le phishing, également connu sous le nom d’hameçonnage en français, est la principale méthode utilisée par les cybercriminels pour voler des informations personnelles et/ou bancaires aux internautes. Que ce soit par e-mail, SMS ou téléphone, ils usurpent l’identité d’une entité de confiance telle qu’une banque, une administration, un réseau social, une entreprise de livraison ou un commerce en ligne, afin de tromper la victime et de l’inciter à divulguer ses informations d’identification, ses mots de passe ou ses numéros de carte bancaire. Les informations volées lors du phishing sont ensuite utilisées directement par les escrocs ou revendues à d’autres cybercriminels pour mener diverses actions frauduleuses, telles que le piratage de comptes en ligne, la fraude bancaire, l’usurpation d’identité ou le ciblage spécifique de la victime.
1. Le phishing : définition et généralités
Le phishing, qu’est-ce que c’est exactement ? Comment le reconnaître et s’en prémunir ? Que faire si l’on en est victime ? Quelles sont les infractions qui peuvent être retenues contre les auteurs de ces escroqueries ? Retrouvez tous nos conseils dans notre article dédié, ainsi que de façon plus concise dans nos fiches réflexe et mémo. Découvrez également notre article sur le phishing par SMS, également appelé “smishing”. Un phénomène plus récent en forte croissance depuis 2020.
2. Les différentes formes de phishing ou hameçonnage
Cybermalveillance.gouv.fr relève régulièrement de nombreuses campagnes de phishing qui usurpent l’identité de diverses entreprises ou administrations. Les thèmes utilisés par les cybercriminels varient, mais l’objectif est toujours le même : voler des informations confidentielles, personnelles ou professionnelles, pour les utiliser de manière frauduleuse. Retrouvez ci-dessous nos articles sur les méthodes de phishing les plus fréquemment utilisées par les escrocs en ligne. Nous analysons les mécanismes de ces tentatives d’escroquerie et vous donnons des conseils pour vous en prémunir et y faire face si vous en êtes victime.
2.1 Le phishing aux couleurs des impôts
Les messages frauduleux aux couleurs de la Direction Générale des Finances Publiques (DGFiP) et de son portail Internet Impots.gouv.fr ciblent aussi bien les particuliers que les entreprises. Ces e-mails et SMS frauduleux proposent de faux remboursements, demandes de règlement d’impayés, ou encore de fausses mises à jour de dossier fiscal. Découvrez dans cet article les différentes techniques utilisées par les cybercriminels et apprenez comment les déjouer ou y répondre.
2.2 Le phishing bancaire et la DSP2
Une autre méthode récurrente est le phishing qui usurpe l’identité d’établissements bancaires tels que La Banque Postale, le Crédit Agricole, la BNP Paribas, ou encore des services de paiement tels que PayPal. De nombreuses campagnes malveillantes exploitent le thème de la sécurité des comptes bancaires en lien avec la mise en œuvre de la deuxième Directive européenne sur les Services de Paiements (DSP2). Les e-mails ou SMS trompeurs tentent ainsi d’inciter les victimes à divulguer les informations de connexion à leur compte bancaire en ligne et/ou leur numéro de carte de paiement.
2.3 Les escroqueries à la livraison de colis
Ce type de phishing usurpe l’identité de sociétés de livraison telles que La Poste, Colissimo, DPD, Chronopost, UPS, et prétend qu’il y a un problème d’acheminement d’un colis nécessitant un paiement de faible montant. Il vise généralement à voler les informations de carte bancaire des victimes, ainsi que leurs coordonnées postales et téléphoniques. Il existe également d’autres variantes, telles que la souscription forcée à un abonnement non souhaité, l’installation de virus ou encore la fraude au faux support technique.
2.4 Les escroqueries à la loterie
Ce type de phishing démarre généralement par un e-mail qui usurpe l’identité d’entreprises organisatrices de jeux de loterie. Le message indique que la victime a été tirée au sort et a remporté une importante somme d’argent. La victime est ensuite incitée à communiquer des informations personnelles à un prétendu avocat, notaire ou huissier chargé de la remise des gains. Les informations volées sont ensuite utilisées à des fins frauduleuses par les escrocs.
2.5 L’escroquerie à la fausse commande
Ce type de phishing vise à faire croire à la victime qu’une commande a été passée en son nom, en usurpant l’identité d’un site marchand ou d’un service de paiement. Le message frauduleux précise une identité et une adresse de livraison qui ne sont pas celles de la victime, et lui propose d’annuler la commande pour obtenir un remboursement. L’objectif de cette escroquerie est de faire paniquer la victime pour l’inciter à fournir ses informations personnelles et bancaires afin de prétendument annuler cet achat.
2.6 Le phishing aux couleurs de l’Assurance Maladie (Ameli)
Dans cette catégorie de phishing récurrent, un e-mail ou SMS semble provenir de l’Assurance Maladie ou de sa plateforme Internet Ameli, annonçant un remboursement en attente ou la disponibilité d’une nouvelle carte Vitale. La victime est incitée à cliquer sur un lien qui la dirige vers un site frauduleux, en apparence officiel, où elle est invitée à renseigner ses informations personnelles et bancaires, qui seront ensuite utilisées à des fins malveillantes.
2.7 Le phishing à la vignette Crit’Air
Ce type de phishing, apparu à l’automne 2022, consiste en l’envoi d’un SMS ou e-mail qui évoque l’obligation de commander rapidement une vignette Crit’Air sous peine d’amende. Ces messages contiennent un lien redirigeant la victime vers un site frauduleux en apparence officielle, où elle sera incitée à renseigner ses informations personnelles et bancaires, qui seront ensuite utilisées de manière frauduleuse.
2.8 Le phishing à la contravention
Depuis le début de l’année 2023, Cybermalveillance.gouv.fr a identifié des vagues importantes de messages frauduleux par e-mail ou SMS qui usurpent l’identité de l’ANTAI et/ou du service de paiement en ligne des amendes, Amendes.gouv.fr, pour réclamer le paiement d’une contravention sous peine de pénalités ou poursuites. Les victimes se voient redirigées vers un site frauduleux en apparence officielle, où il leur est demandé de fournir leurs informations personnelles et bancaires. Ces informations volées seront ensuite utilisées de manière malveillante.
3. Autres types d’escroquerie basées sur l’usurpation d’identité
En plus du phishing, d’autres tentatives d’escroquerie reposent sur l’usurpation d’identité pour tromper leurs victimes. Alors que le phishing vise à voler des informations personnelles et/ou professionnelles pour une utilisation ultérieure malveillante, ces méthodes visent principalement à voler directement de l’argent aux victimes. Voici quelques exemples :
- L’escroquerie aux faux ordres de virement (FOVI) : le cybercriminel se fait passer pour un dirigeant, un fournisseur ou un employé afin de faire réaliser un virement frauduleux sur son compte.
- Les messages d’escroquerie qui usurpent l’identité de la Police et de la Gendarmerie, menaçant la victime de poursuites pour des faits de pédopornographie si elle ne paie pas une amende.
- Les fausses propositions d’emploi, où les escrocs se font passer pour des employeurs afin de voler des informations personnelles et escroquer la victime.
- L’arnaque au faux support technique, qui vise à faire payer à la victime un prétendu dépannage informatique réalisé à distance.
- Les escroqueries au Compte Personnel de Formation (CPF), qui usurpent souvent l’identité d’un organisme officiel (Pôle Emploi, Moncompteformation.gouv.fr…) pour détourner les fonds du compte de formation de la victime.
- Le chantage à la webcam piratée, où les escrocs prétendent avoir piraté l’ordinateur ou le téléphone mobile de la victime et la menace de divulguer ses informations et des vidéos prises à son insu si elle ne paie pas une rançon.
- Les messages d’arnaque à la menace de mort ou d’agression par un prétendu tueur à gages, visant à effrayer la victime pour lui extorquer de l’argent.
4. Nos supports PDF dédiés à ce sujet
Pour approfondir vos connaissances sur le sujet du phishing et de l’usurpation d’identité, nous mettons à votre disposition nos supports PDF dédiés à ce sujet. Vous y trouverez des informations complémentaires et des conseils pratiques pour éviter de tomber dans le piège des escrocs.
Note : Cet article est une adaptation de l’article original, dans le respect des normes de crédibilité et de confiance en ligne.