Les tentatives de fraude ne se limitent plus à des mails proposant un héritage fabuleux. Les techniques de phishing (hameçonnage) ont évolué : les escrocs sont de plus en plus efficaces. Ils utilisent toutes les technologies disponibles comme l’intelligence artificielle (IA). Mais qu’est-ce que le phishing ? Comment se protéger contre les escrocs du web ? Quelles sont les solutions de sécurité mises en place chez Veracash ? Place à la transparence !
Mieux comprendre le phishing ?
Le phishing, ou hameçonnage en français, est l’une des formes d’escroquerie les plus pratiquées sur internet. Pour une raison très simple : elle ne nécessite pas forcément des moyens techniques importants. Cette fraude repose sur le « maquillage » de faux mails officiels, voire de faux sites, de faux SMS ou bien encore de faux comptes sur les réseaux sociaux. L’objectif : récupérer des informations personnelles ou confidentielles d’une victime. En se faisant passer pour un tiers de confiance (EDF, votre banque, le service des impôts, Améli, votre opérateur téléphonique…), le pirate vous pousse à vous connecter sur un faux site avec vos vrais identifiants, ou à effectuer un paiement en ligne.
Les tentatives de phishing sont de plus en plus nombreuses, comme le relève la plateforme cybermalveillance.gouv.fr et surtout, elles évoluent. Les fraudeurs arrivent copier des sites internet officiels, des comptes Facebook ou Instagram à la quasi-perfection. Même chose pour les emails ou les SMS qui, avec l’utilisation de l’intelligence artificielle (IA) ont une orthographe parfaite… Ce qui n’était pas le cas avant.
Mails, sms, téléphone… il y a différents types de phishing
Le terme « phishing » est une contraction des mots anglais « phreaking », pour le piratage des systèmes téléphoniques, et « fishing » pour… la pêche. Il faut en effet savoir que ces envois de faux mails sont effectués à grande échelle, sur des dizaines de milliers d’adresses mails. Autant de lignes de pêche lancées dans un océan de data !
L’hameçonnage ne concerne pas uniquement les e-mails : il peut aussi être pratiqué par sms (« smishing »), ou via la messagerie d’un réseau social. Certains fraudeurs tentent aussi le « vishing », une forme d’hameçonnage par téléphone (« voice fishing »).
Quelle que soit la pratique, elle est dangereuse pour vos données personnelles. Mais il est possible de se prémunir au mieux contre ce genre d’attaque.
Bon à savoir : Livraison, amendes, offres de crédit… Qu’est-ce que l’arnaque par SMS ?
Vous recevez un SMS qui vous informe qu’un colis n’a pas pu être livré à votre domicile. Un service qui semble officiel vous alerte sur une amende de stationnement non payée ou bien encore un organisme de crédit vous invite à valider une enveloppe de crédit. Si vous cliquez sur le lien et si vous remplissez le formulaire proposé, vous vous êtes fait hameçonner ! Ce sont des faux sms envoyés à des numéros au hasard, ou trouvés sur une base de données piratée et en vente sur le dark web. Dès lors qu’un paiement est demandé ou qu’il faut télécharger un fichier… Red flag ! Alerte rouge. Ça sent l’arnaque à plein nez.
L’objectif du phishing : récupérer des données et des accès aux comptes bancaires des victimes
Plus le fraudeur a des informations sur sa prochaine victime, plus il lui sera simple d’obtenir des informations bancaires ensuite.
À la pêche aux données personnelles
Les fraudeurs recherchent avant tout à utiliser des éléments de votre identité : le nom, le prénom, la date de naissance, une adresse email, une adresse postale, un numéro de téléphone portable… Autant d’éléments qui permettent de rédiger ensuite des emails ou des SMS personnalisés. Et même pouvoir hameçonner directement la victime au téléphone en se faisant passer pour un conseiller bancaire par exemple. D’ailleurs, tous les organismes de paiement (dont Veracash) alertent leurs clients : jamais une personne de leur entreprise ne demandera des codes confidentiels par téléphone !
Les données piratées sur des sites web ou des applications
Malheureusement, vos données personnelles peuvent être à vendre sur le Dark Web, le lieu où les pirates et les escrocs font leurs emplettes pour réaliser leurs méfaits. Ainsi, un site ou une application sur lequel vous avez un compte peut avoir été piraté. Vos données se retrouvent à vendre sans même que vous soyez informés.
RIB piratés : quels risques ?
L’annonce a fait grand bruit en octobre 2024. Un pirate a réussi à télécharger l’ensemble des RIB (relevé d’identité bancaire) des clients de l’opérateur internet Free. Les autorités estiment que le RIB seul ne peut pas servir à grand-chose. En revanche, il faut être très vigilant pour ne surtout pas signer de mandats SEPA par exemple (espace uniquement de paiement en euros). Donc attention aux SMS ou aux emails, voire aux appels téléphoniques qui proposeraient de procéder à une signature « électronique ».
À noter : il existe aussi des tentatives de phishing qui utilisent des faux RIB. Vous pensez payer un organisme officiel, et c’est sur le compte du voleur que votre argent est viré.
Les bons réflexes pour éviter les pièges ?
La meilleure protection, c’est d’abord de l’attention. Vous aurez certainement de très bons exemples de mails de phishing en consultant le dossier des spams sur votre messagerie. Ces messages comportent parfois des fautes d’orthographe, ou bien le nom de l’expéditeur ne correspond pas à un service que vous connaissez. Vous vous méfiez, et vous avez raison.
Plusieurs indices peuvent indiquer un message malveillant :
- L’adresse email de l’expéditeur ne correspond pas au service ;
- Le message vous demande de cliquer sur un lien pour un paiement ou un remboursement ;
- L’url du lien ne correspond pas au service que vous utilisez habituellement : une lettre manquante par exemple, ou un lien caché derrière un lien type « bitly » ou « tinyurl » ; Soyez très vigilants, les escrocs sont créatifs. Par exemple : une adresse qui se termine par .qouv.fr vous semble officielle, appartenir au gouvernement ? Regardez mieux : .qouv n’est pas .gouv… À une lettre près, on est piégé.
- Le mail vous indique de télécharger un fichier.
Ce sont autant de signaux d’alerte. Il est déconseillé de cliquer sur ces liens. Lorsque vous avez un doute, contactez directement le « vrai » service concerné pour vérifier. Cela vous évitera toujours des mauvaises surprises !
Comment se protéger ?
Maintenant que vous savez comment mieux identifier les messages frauduleux, vous pouvez aussi adopter les bons réflexes pour éviter d’en recevoir. En premier lieu, ne donnez pas votre adresse email – et à plus forte raison, votre numéro de téléphone – en public, ou sur des sites que vous ne connaissez pas. Vous pouvez également réserver une adresse email pour les services les plus sensibles, et une autre pour les communications moins importantes. Pensez également à renouveler régulièrement vos mots de passe, et à ne jamais cliquer sur des liens hypertextes dans les mails ou les sms. Il peut arriver que certaines messageries – ou même des réseaux sociaux, comme cela a été le cas récemment chez Facebook – fassent l’objet de vol d’adresses. Et c’est pour cela que parmi toutes ces fameuses lignes de pêche, l’un de ces hameçonnages arrive chez vous.
Autre règle de prudence : si un site vous propose les produits de votre marque préférée à des prix défiants toute concurrence, fuyez ! Vous avez le choix entre : contrefaçon et… phishing, la peste ou le choléra.
Que faire si vous êtes victime de phishing ?
Bloquer
Bloquez le moyen de paiement que vous avez utilisé, et faites opposition auprès de votre service bancaire
Prévenir
Prévenez votre établissement bancaire, et surveillez toute transaction douteuse sur vos comptes
Modifier
Modifiez les informations confidentielles qui ont été renseignées (un mot de passe par exemple)
Porter plainte
Conservez le message frauduleux et déposez plainte auprès de la gendarmerie ou de la police
Alerter
Vous pouvez signaler toute malveillance sur la plateforme Pharos, sur internet-ignalement.gouv.fr.
Se renseigner
Vous pouvez signaler toute malveillance sur la plateforme Pharos, sur internet-signalement.gouv.fr.
Les moyens mis en place par Veracash pour vous protéger du phishing ?
Pour protéger les membres de la communauté Veracash , nous avons aussi notre rôle à jouer. C’est pour cela que l’accès à votre compte Veracash se fait grâce à trois facteurs d’authentification. Comme un coffre-fort, votre compte bénéficie ainsi de plusieurs verrous supplémentaires.
En effet, lors de la connexion à votre compte, nous vous demandons plusieurs informations : votre pseudonyme public, votre identifiant ainsi que mot de passe à 4 chiffres. Si vous passez par l’application VeraCash, la reconnaissance faciale ou votre empreinte remplace votre mot de passe.
Aussi, depuis août 2019 la validation en deux étapes< est devenue obligatoire pour tous les comptes Veracash. Cette double authentification (ou 2FA) ajoute un niveau de sécurité supplémentaire à votre compte afin de protéger celui-ci en cas de piratage de votre mot de passe et de tentative de connexion. Si vous vous connectez pour la première fois depuis 7 jours, ou si vous vous connectez depuis un navigateur ou une adresse IP que nous ne connaissons pas encore, nous allons vous demander une double identification. C’est une sécurité supplémentaire pour éviter toute connexion non souhaitée.
En cas de besoin, ou si vous avez le moindre doute, vous pouvez activer et désactiver le paiement sans contact en un seul clic. Vous pouvez également bloquer votre carte ou faire opposition. Le code PIN n’est connu que de vous : il ne vous est pas transmis par courrier.
Enfin, vous pouvez garder l’œil sur les transactions, facilement et surtout très rapidement sur votre application, ou sur votre espace membre en ligne. En quelques secondes, vous avez ainsi le récapitulatif des dernières transactions. Si une transaction vous semble suspecte, elle est rapidement détectable.
Vous avez reçu un email ou SMS signé Veracash mais vous n’êtes pas certain qu’il provienne de nous ? La présence du logo VeraCash ne garantit pas toujours que l’email provient de nos services, soyez vigilant ! Vous ne recevrez des communications et emails de notre part que depuis les adresses emails suivantes :
- [email protected] (newsletter, communication ponctuelle)
- [email protected] (email transactionnel)
- [email protected], [email protected] et [email protected] (communication provenant du service client Veracash)
Brand & Content Manager chez Veracash.
Curieux de tout et en particulier d'Économie, de ses transformations et de l'impact qu'elle a sur nos sociétés.
Toutes les questions méritent une réponse, avec recul et pédagogie.