Le phishing, également connu sous le nom d’hameçonnage en français, est la principale méthode utilisée par les cybercriminels pour voler les informations personnelles et/ou bancaires des internautes. Que ce soit par e-mail, SMS ou téléphone, cette technique consiste à usurper l’identité d’une tierce partie de confiance, telle qu’une banque, une administration, un réseau social, une entreprise de livraison ou un site de commerce en ligne, afin de tromper la victime et l’inciter à communiquer ses données d’identité, ses mots de passe ou ses numéros de carte bancaire. Les informations volées lors du phishing sont ensuite utilisées directement par les fraudeurs ou revendues à d’autres cybercriminels pour mener différentes actions frauduleuses, telles que le piratage de comptes en ligne, la fraude bancaire, l’usurpation d’identité ou le phishing ciblé.
Ce dossier regroupe tous nos contenus de sensibilisation dédiés à cette forme majeure de fraude, qui constitue la principale menace en ligne ciblant les particuliers, les entreprises, les collectivités, les administrations et les associations.
1. Le phishing (hameçonnage) : définition et généralités
Qu’est-ce que le phishing ? Comment le reconnaître et s’en prémunir ? Que faire en cas de victime ? Quelles infractions peuvent être retenues contre les auteurs ? Retrouvez tous nos conseils dans notre article dédié, ainsi que de manière synthétique dans nos fiches réflexe et mémo. Consultez également notre article sur le phishing par SMS, également appelé “smishing”. Il s’agit d’un phénomène plus récent en forte croissance depuis 2020.
Illustration : “Phishing ou hameçonnage – Escroquerie sur Internet : comment ne pas se faire avoir ?” – Consomag réalisé en partenariat avec l’INC.
2. Les formes les plus courantes et récurrentes de phishing ou hameçonnage
Sans relâche, Cybermalveillance.gouv.fr recense de nombreuses campagnes de phishing usurpant l’identité de diverses entreprises ou administrations. Les thèmes utilisés par les cybercriminels varient, mais l’objectif reste le même : voler des informations confidentielles, personnelles ou professionnelles, pour les utiliser de manière frauduleuse.
Retrouvez ci-dessous nos articles sur les méthodes de phishing les plus fréquemment utilisées par les escrocs en ligne. Ils analysent les mécanismes de ces tentatives d’escroquerie et vous donnent des conseils pour vous en prémunir et y faire face en cas de victime.
1. Le phishing (phishing) aux couleurs des impôts
De fausses annonces de remboursement ou de demande de règlement d’un impayé, de fausses demandes d’informations personnelles et/ou professionnelles, de fausses mises à jour de dossier fiscal… Les messages frauduleux aux couleurs de la Direction Générale des Finances Publiques (DGFiP) et du portail Internet Impots.gouv.fr ciblent aussi bien les particuliers que les entreprises. Cet article décrit les différentes techniques utilisées par les cybercriminels et vous donne les moyens de les déjouer ou d’y répondre.
2. Le phishing bancaire et la DSP2
Autre méthode récurrente, le phishing usurpant l’identité d’établissements bancaires (La Banque Postale, Crédit Agricole, BNP Paribas…) ou de services de paiement (PayPal). Cybermalveillance.gouv.fr a constaté de nombreuses campagnes malveillantes exploitant le thème de la sécurité des comptes bancaires en lien avec la mise en œuvre de la deuxième Directive européenne sur les Services de Paiements (DSP2). Sous prétexte d’un renforcement de la sécurité de leur compte, les messages trompeurs (e-mails ou SMS) tentent d’inciter les victimes à communiquer leurs informations de connexion à leur compte bancaire en ligne et/ou leur numéro de carte de paiement.
3. Les escroqueries à la livraison de colis
Cette forme de phishing usurpe l’identité de sociétés de livraison (La Poste, Colissimo, DPD, Chronopost, UPS…) et prétend généralement qu’il y a un problème d’acheminement d’un colis nécessitant le paiement d’une somme modique. Il s’agit en réalité de voler les informations bancaires des victimes, ainsi que leurs coordonnées postales et téléphoniques. Des variantes existent avec d’autres objectifs, tels que la souscription à un abonnement non souhaité, l’installation de virus ou la fraude au faux support technique.
4. Les escroqueries à la loterie
Autre forme courante de phishing, les escroqueries à la loterie commencent généralement par un e-mail qui usurpe l’identité d’entreprises organisatrices de jeux de loterie. Le message indique à la victime qu’elle a été tirée au sort et qu’elle a remporté une somme d’argent importante. La victime est alors incitée à communiquer des informations personnelles à un prétendu avocat, notaire ou huissier de justice chargé de remettre les gains. Ces informations volées seront ensuite utilisées par les escrocs à des fins frauduleuses.
5. L’escroquerie à la fausse commande
Usurpant l’identité d’un site marchand ou d’un service de paiement, ce type de phishing vise à faire croire à la victime qu’une commande a été passée en son nom. Le message frauduleux précise généralement une identité et une adresse de livraison qui ne sont pas celles de la victime et lui propose d’annuler la commande pour obtenir un remboursement. L’objectif de cette escroquerie est de paniquer la victime pour l’inciter à fournir ses informations personnelles et bancaires, qui lui sont demandées afin de prétendument annuler cet achat.
6. Le phishing aux couleurs de l’Assurance Maladie (Ameli)
Dans cette catégorie de phishing récurrent, un message (e-mail ou SMS) qui semble provenir de l’Assurance Maladie ou de la plateforme Ameli annonce un remboursement en attente ou la disponibilité d’une nouvelle carte Vitale. La victime est incitée à cliquer sur un lien qui la dirige vers un site frauduleux d’apparence officielle, où on lui demande de renseigner ses informations personnelles et bancaires, qui sont ensuite volées à des fins malveillantes.
7. Le phishing à la vignette Crit’Air
Ce type de phishing, apparu à l’automne 2022, prend la forme d’un message (SMS ou e-mail) qui évoque l’obligation de commander rapidement une vignette Crit’Air pour être en conformité avec la réglementation en vigueur, sous peine d’amende. Ces messages contiennent un lien qui redirige la victime vers un site frauduleux d’apparence officielle, où on lui demande de renseigner ses informations personnelles et bancaires, qui sont ensuite volées à des fins frauduleuses.
8. Le phishing à la contravention
Depuis le début de l’année 2023, Cybermalveillance.gouv.fr a identifié de nombreuses vagues de messages frauduleux par e-mail ou SMS qui usurpent l’identité de l’ANTAI et/ou du service de paiement en ligne des amendes, Amendes.gouv.fr, pour réclamer le paiement d’une contravention sous peine de pénalités ou de poursuites. Les victimes qui donnent suite sont redirigées vers un site frauduleux d’apparence officielle, où on leur demande de fournir leurs informations personnelles et bancaires. Ces informations volées seront ensuite utilisées par les escrocs à des fins malveillantes.
3. Autres types d’escroquerie basée sur l’usurpation d’identité
Assimilables au phishing, d’autres tentatives d’escroquerie reposent sur l’usurpation d’identité pour tromper leurs victimes. Tandis que le phishing a pour objectif de voler des informations personnelles et/ou professionnelles pour les utiliser de manière malveillante par la suite, ces méthodes visent particulièrement à voler directement de l’argent aux victimes. Voici quelques exemples :
- L’escroquerie aux faux ordres de virement (FOVI) : Elle consiste à se faire passer pour un dirigeant, un fournisseur ou un employé pour faire réaliser un virement frauduleux sur le compte du cybercriminel.
- Les messages d’escroquerie usurpant l’identité de la Police et de la Gendarmerie : Ils menacent la victime de poursuites pour des faits de pédopornographie si elle ne paie pas une forte amende.
- Les fausses propositions d’emploi : Les escrocs se font passer pour un employeur pour voler des informations personnelles et escroquer la victime.
- L’arnaque au faux support technique : Elle vise à faire payer à la victime un pseudo-dépannage informatique réalisé à distance.
- Les escroqueries au Compte Personnel de Formation (CPF) : Ces escroqueries usurpent souvent l’identité d’un organisme officiel (Pôle Emploi, Moncompteformation.gouv.fr…) pour s’approprier le compte formation de la victime et détourner les fonds.
- Le chantage à la webcam piratée : Les escrocs prétendent avoir piraté l’ordinateur ou le téléphone mobile de la victime et la menacent de divulguer ses informations et des vidéos prises à son insu si elle ne paie pas une rançon.
- Les arnaques à la menace de mort ou d’agression par un prétendu tueur à gages : Elles visent à effrayer la victime pour lui extorquer de l’argent.