Phishing et hameçonnage : les reconnaître et s’en protéger

Le phishing et l’hameçonnage sont deux types de fraude qui ont le même objectif : vous tromper pour obtenir vos données personnelles, y compris votre mot de passe. Le premier est un faux site Web qui cherche à vous attirer en se faisant passer pour un site que vous expérimentez. L’autre utilise des emails frauduleux qui demandent des informations individuelles et tentent d’induire en erreur les utilisateurs en leur faisant croire qu’ils proviennent du site internet ou d’un service que vous connaissez.

Dans cet article, nous parlerons de ces deux types d’escroquerie sous le générique de « phishing ». Ce terme décrit la méthode utilisée pour vous tromper, peu importe la méthode utilisée pour cela.

Si le phishing est efficace, c’est parce qu’il exploite les failles de sécurité humaines plutôt que de prendre le risque de pirater des données informatiques. Il ne suffit pas de regarder quelque chose pour savoir si c’est un phishing ou un hameçonnage. Vous devez connaître les signes qui vous permettent de savoir s’il s’agit d’un site légitime ou d’une fraude.

phishing et hameçonnage email

Qu’est-ce que le phishing ?

Le phishing (abrégé de phreaking « piratage » et fishing, « pêche ») est une technique visant à soutirer des informations sensibles et personnelles à des internautes. Ces informations sont ensuite utilisées dans le cadre d’escroqueries.

Le but du phishing est de tromper l’internaute en lui faisant croire qu’il est en train de communiquer avec une entreprise, un service public ou un organisme pour lui demander de fournir des informations personnelles.

Le phishing utilise donc des techniques de communication, comme les emails ou les messages sur les réseaux sociaux, pour tenter de tromper les internautes.

Ce type d’attaque informatique est considéré comme un délit aux États-Unis, en France et dans plusieurs pays européens. C’est pourquoi si vous avez reçu un courriel en provenance de la banque, de la compagnie de transport ou de l’organisme gouvernemental que vous connaissez bien, qui vous demande de participer à un sondage ou d’effectuer une transaction, vérifiez toujours auprès de l’entreprise si elle a bien envoyé cet email.

Ces mails contiennent généralement un lien redirigeant un faux site d’un tiers incitant l’utilisateur à communiquer des informations personnelles. Le but de ces emails : dérober et voler des informations bancaires et/ou financières.

comment le phishing fonctionne mail
Étapes d'une attaque de phishing

Cette pratique est largement répandue, car très efficace. Selon un rapport de CISCO paru en 2021, 86 % des entreprises ont eu au moins un employé ayant cliqué sur un lien de phishing. En 2021, 1,3 million de recherches d’information et d’assistance sur le phishing ont été effectuées.

Mais pourquoi le phishing est-il une pratique si efficace ? Voici quelques exemples de méthodes utilisées par les hackers. 

Comment reconnaître un email de phishing ?

Il existe différents types de phishing. Les emails de phishing traditionnels, appelés hameçonnage ou spoofing, sont la forme la plus courante. Ils sont envoyés en masse à un grand nombre de destinataires. À l’inverse, il existe une méthode plus ciblée appelée Spear phishing, ou harponnage. Cette méthode consiste à envoyer un email de phishing spécialement conçu pour piéger une personne précise. Elle peut être efficace et très dangereuse, souvent envoyée à des moments bien précis (attente d’un colis, d’une facture, d’un abonnement…).

Les attaques par hameçonnage sont très efficaces et elles peuvent être utilisées à tout moment. De plus, les cybercriminels ont une imagination débordante pour vous faire cliquer sur le lien malveillant, et ce, même si vous avez été sensible au message d’alerte. Voici quelques exemples de méthodes de phishing : 

Un tirage au sort

Une des méthodes les plus courantes. Vous allez recevoir un email vous informant que vous avez gagné un prix (téléphone, voiture, remboursement de frais…). Il vous sera demandé de renseigner vos informations personnelles afin de recevoir votre prix.

phishing email

Menace ou mise à jour d’informations

Phishing bancaires financières

Méthode elle aussi très répandue. Un email vous est envoyé vous demandant de mettre à jour certaines informations confidentielles. Cela peut être :

  • une mise à jour des coordonnées bancaires (suite à un abonnement)
  • une mise à jour du mot de passe suite à une alerte de sécurité
  • une fausse alerte d’une banque ou institution financière (PayPal)

L’email contient généralement un lien vers un site contrefait, trompant donc l’utilisateur.

Transfert d’argent

Autre forme courante du phishing. Vous recevez une notification vous demandant d’accepter un transfert d’argent. Se faisant passer pour une banque, l’email vous redirige vers un faux site internet de celle-ci vous invitant à entrer vos coordonnées bancaires telles que vos numéros de carte bancaire par exemple.

Institutions gouvernementales

Cette méthode consiste à envoyer de faux emails d’institutions du gouvernement (Sécurité sociale, Assurance maladie, impôts…). Généralement, elle vous informe d’une éligibilité à un remboursement. Une fois encore, l’email vous redirigera vers une réplique d’un site officiel pour vous piéger. Il est possible que l’email contienne une pièce jointe à télécharger contenant un malware (logiciel malveillant volant des données personnelles) pouvant dérober vos informations.

email phishing gouvernement

Après avoir vu ces quelques techniques d’hameçonnage, voyons maintenant comment s’en protéger.

Comment se protéger du phishing ?

Le phishing cherche à vous tromper. Ainsi, vous devez être très vigilant avant tout clic et/ou avant toute réponse. Voici les principaux pièges à éviter :

Vérifier l'adresse de l'expéditeur​

Souvent, une lettre est modifiée (nn au lieu de m) ou imitée (i majuscule au lieu d’un l, ou des caractères spéciaux). De la même manière, vérifiez les liens URL contenus dans l’email. Privilégiez une adresse URL sécurisée (HTTPS), surtout pour renseigner des informations confidentielles.

Faire attention au contenu de l'email

Si l’email contient des fautes d’orthographe ou joue trop sur le sentiment d’urgence, il est fort probable que l’email soit une tentative d’hameçonnage.

Se méfier des pièces jointes​

Si vous avez le moindre doute sur la véracité d’un email, ne téléchargez pas de pièces jointes. Celles-ci peuvent contenir un logiciel malveillant volant vos données personnelles.

Mettre en place un filtre anti-spam​

Ceux-ci permettent de filtrer directement les emails potentiellement malveillants en spam. Découvrez notre article traitant de ce sujet pour mieux comprendre le fonctionnement des filtres anti-spams.

Authentifier son domaine d'envoi​

Si vous êtes une entreprise ou un particulier envoyant des emails de diverses natures à des clients, optez pour une authentification de vos emails. L’utilisation de plus en plus fréquente de cette pratique renforce la crainte des utilisateurs. En utilisant des protocoles d’authentification, comme DMARC, DKIM ou SPF. Vous garantissez ainsi à vos destinataires l’authenticité de vos emails. N’hésitez pas à consulter nos articles dédiés à ce sujet pour en savoir plus.

Si vous souhaitez authentifier votre domaine d’envoi afin de rassurer vos destinataires et optimiser votre délivrabilité, nos experts MailSoar peuvent vous assister.

Le phishing est donc une méthode largement utilisée, notamment dans les milieux professionnels. Pour s’en protéger, différents réflexes doivent être adoptés. Les expéditeurs légitimes peuvent opter pour une sécurisation de leurs domaines d’envoi pour attester de l’authenticité de leurs envois.

Si vous avez été victime d’une tentative de phishing, contactez le service « Info Escroqueries » au 0805 805 817 pour vous faire conseiller. Vous pouvez également signaler la communication frauduleuse sur le site Signal Spam ou Phishing-initiative.fr.

hacker sur un ordinateur phishing mail

MailSoar est une agence de délivrabilité vous aidant à faire croitre votre délivrabilité et par conséquent votre activité commerciale

Que vous soyez un expérimenté en emailing voulant perfectionner votre délivrabilité ou que votre ROI est fortement lié à vos campagnes emailing, notre équipe d’experts se dévoue à gérer la délivrabilité de grands envoyeurs d’emails de toutes industries.

Contactez MailSoar pour authentifier votre domaine d’envoi et ainsi optimiser la délivrabilité de vos emails et votre réputation d’emailing avec les meilleures solutions.

Partagez cet article

À Découvrir également

Vous souhaitez améliorer votre chiffre d'affaires grâce à vos campagnes emailing ?

Nous pouvons vous aider !

Discuter avec l'un de nos experts