Le terme
Issu de l’anglais «password harvesting fishing», signifiant «pêche aux mots de passe». Traduction française officielle «Filoutage». Le terme québécois «Hameçonnage» est plus imagé et donc souvent utilisé.
La technique
- Consiste à abuser de la crédulité de l’internaute ;
- Celui-ci reçoit un courriel reprenant la charte graphique d’une société ou d’une administration notoirement connue (banque, opérateur téléphonique, PayPal, Impôts, CNSS…) ;
- L’objectif est d’attirer l’internaute vers un site internet en utilisant toutes sortes de raisons auxquelles il est particulièrement sensible (sécurité, utilisation frauduleuse, remboursement…) ;
- En cliquant sur le lien proposé dans le courriel, l’internaute se trouve connecté sur un site à la même signalétique. Il y est invité à fournir des informations confidentielles (codes d’accès, n° de carte bancaire…) sans se rendre compte de la fraude ;
- Les pirates récupèrent ainsi facilement ces codes afin d’effectuer des opérations pour leur propre profit.
Les bons réflexes
- Méfiez-vous des demandes (trop) urgentes d’informations personnelles, que ce soit par courriel, appels téléphoniques, messages vocaux ou SMS ;
- Méfiez-vous des courriels et des sites internet en (trop) mauvais français contenant des fautes d’orthographe grossières, des fautes de grammaire, des tournures de phrase inhabituelles, des caractères issus d’alphabets étrangers…;
- Ne vous fiez pas à l’adresse de l’émetteur d’un message (De :), il est facile d’y mettre ce que l’on veut ;
- Ne vous fiez pas aux informations personnelles contenues dans le courriel. Elles ne cherchent qu’à le crédibiliser et ont pu être dérobées à votre insu ;
- Éviter de suivre les liens dans les courriels. Préférez, quand c’est possible, une saisie de l’adresse du site dans votre navigateur ou utilisez un « favori » ;
- Utilisez les fonctions anti-phishing des navigateurs et des anti-virus récents ;
- Vérifiez régulièrement les opérations effectuées sur vos comptes et votre carte bancaire.
Que faire si...
- Si vous avez le moindre doute, si vous avez cliqué sur le lien et surtout si vous avez fourni des informations confidentielles, contactez rapidement votre agence ;
- Si vous en avez la possibilité, transférez le mail reçu à l’adresse qui vous sera donnée par votre conseiller, puis détruisez-le ;
- Si vous avez communiqué vos identifiant et mot de passe d’accès à la banque en ligne, en plus du contact agence, modifiez immédiatement votre mot de passe en vous connectant à votre banque en ligne ;
- Si vous avez communiqués vos informations de cartes bancaires (numéro de carte, code pin, date d’expiration, cryptogramme ou code à 3 chiffres), faites opposition à votre carte bancaire le plus rapidement possible ;
Bon à savoir
Crédit du Maroc n’utilise jamais la messagerie électronique pour demander à ses clients d’intervenir sur leurs informations confidentielles.
Certains courriels d’hameçonnage, au visuel d’organisations non bancaires (opérateurs téléphoniques,…), n’ont pour unique finalité que de vous dérober vos secrets bancaires (particulièrement ceux des cartes bancaires).
Autres formes
- Le phishing par téléphone (Vishing) : Le pirate vous appelle ou fait en sorte que vous l’appeliez. Pour cela il utilise toutes sortes de raisons auxquelles vous serez particulièrement sensible (sécurité, utilisation frauduleuse, remboursement…). Il va tenter d’obtenir vos informations confidentielles, soit via un serveur vocal, soit lui-même par un argumentaire particulièrement efficace.
- Le phishing par SMS (Smishing) : L’accroche se fait par SMS, vous incitant à vous connecter sur un site internet, appeler un n° de téléphone, voire envoyer un SMS.