Hameçonnage (Phishing), Vishing, Smishing

Hameçonnage (Phishing)

Par l’hameçonnage (ou phishing), des criminels tentent d’amener leurs victimes à divulguer leurs mots de passe et d’autres informations personnelles.

Par l’hameçonnage, des criminels tentent d’accéder aux données confidentielles d’utilisateurs ne se doutant de rien. Il peut s’agir par exemple des données d’accès de comptes de messagerie, de soumissionnaires de ventes aux enchères en ligne ou de données de cartes de crédit. Les pirates font appel à la bonne foi, à la crédulité ou à la serviabilité de leurs victimes en leur envoyant des courriels avec des adresses d’expéditeur falsifiées. Ces courriels signalent par exemple à la victime que les informations concernant son compte et ses données d’accès (p. ex. nom d’utilisateur et mot de passe) ne sont plus d’actualité ou ne sont plus sécurisées, les invitant à les modifier à l’aide d’un lien indiqué dans le courriel. De fait, le lien n’aboutit pas sur le site du fournisseur de services (p. ex. la banque), mais sur un site à l’identique falsifié par les pirates.

Mesures concrètes

Dès que vous remarquez avoir indiqué votre mot de passe sur une page d’hameçonnage, modifiez-le immédiatement pour tous les services où vous utilisez ce même mot de passe.
Si vous avez communiqué les données de votre carte de crédit, adressez-vous immédiatement à l’émetteur de la carte afin qu’il puisse la bloquer.
Si vous avez divulgué le mot de passe d’une adresse électronique, réinitialisez aussi tous les mots de passe des prestataires de services web qui sont en relation avec ce compte.

Mesures préventives

Installez si possible une authentification à deux facteurs. Celle-ci offre un niveau de protection supplémentaire en vue d’empêcher un piratage de votre compte.
Aucune banque ni aucun établissement de carte de crédit ne vous enverront un courriel pour vous demander de modifier des mots de passe ou de vérifier les données de votre carte de crédit.
Ne saisissez jamais des données personnelles telles que des mots de passe ou des données de carte de crédit sur une page web à laquelle vous avez accédé en cliquant sur un lien dans un courriel ou un SMS.
Rappelez-vous qu’il est facile de falsifier des expéditeurs de courriels.
Méfiez-vous des courriels qui essaient de piquer votre curiosité ou qui exigent une action de votre part, en vous menaçant sinon de conséquences (perte financière, plainte pénale ou procès, blocage d’un compte ou d’une carte, occasion manquée, malheur).

Incidences et risques

Grâce aux données obtenues, il est possible d’effectuer des paiements par carte de crédit ou de faire des offres lors d’une vente aux enchères en ligne.
Grâce aux données d’accès, les escrocs ont un contrôle complet sur le compte de messagerie de leur victime. Toutes les données peuvent y être lues et les criminels peuvent écrire des courriels frauduleux aux contacts de la victime.
Si des escrocs ont accès à votre compte de messagerie, ils peuvent prendre le contrôle de tous les services qui utilisent cette adresse comme identifiant et qui ont une fonction de réinitialisation du mot de passe.

Informations complémentaires

Vous trouverez de plus amples informations à ce sujet sur notre site web:
Compte piraté – que faire?
Protéger son compte.

Vishing

Le vishing (contraction de «voice phishing») est une méthode d'hameçonnage par téléphone qui vise à accéder à des données sensibles. Celle-ci consiste à contacter les victimes de vive voix, généralement par téléphone, et à les inciter à effectuer certaines actions en leur faisant croire qu'elles agissent dans leur propre intérêt.

Les tentatives de vishing sont très souvent difficiles à identifier, les personnes qui appellent pouvant notamment falsifier à leur guise le numéro de téléphone affiché (spoofing). Lorsque ce dernier est connu ou apparemment fiable, l'identification du correspondant devient compliqué, et les victimes ne se rendent généralement compte de la supercherie qu'après avoir révélé leurs informations de connexion. Il existe toutefois quelques signaux d'alerte qui permettent de déceler les escroqueries potentielles:

Dans de nombreux cas, les escrocs se présentent comme des experts ou des professionnels dans leur domaine, se faisant passer pour des informaticiens, des banquiers ou des policiers. Ils peuvent même prétendre être eux-mêmes des victimes.
Ils font pression sur leurs victimes.
Ils réclament des informations confidentielles par téléphone.

Mesures concrètes

Mettez immédiatement fin aux appels téléphoniques douteux.
Ne révélez jamais d'informations sensibles telles que des données de carte de crédit ou des mots de passe par téléphone.
N'ouvrez pas de page Internet et n'installez aucun programme, même si la personne qui vous contacte l'exige.
N'ouvrez pas les pièces jointes ou les liens contenus dans des courriels que la personne vous envoie avant, pendant ou après l'appel téléphonique.
Ne permettez jamais à une personne qui vous appelle d'accéder à votre ordinateur à distance.

Mesures préventives

Gardez à l'esprit qu'un numéro d'appel est aisément falsifiable.
Méfiez-vous lorsque l'on vous demande par téléphone de révéler des informations confidentielles ou d'effectuer certaines actions.
Aucune banque ni aucun établissement de carte de crédit ne vous demanderont par téléphone de modifier des mots de passe ou de vérifier les données de votre carte de crédit.

Incidences et risques

Grâce aux données obtenues, il est par exemple possible d’effectuer des paiements par carte de crédit ou de faire des offres lors d’une vente aux enchères en ligne.
Lorsque des escrocs détiennent les données d'accès ou de compte, ils peuvent prendre le contrôle de l'ensemble des services auxquels ces informations permettent de se connecter et qui offrent une fonction de réinitialisation du mot de passe.

Informations complémentaires

Vous trouverez des explications sur la manipulation des numéros de téléphone (spoofing) sur le site Internet de la Prévention suisse de la criminalité: Spoofing: Quand le numéro d’urgence 117 s’affiche sur l’écran.

Smishing

Le vol de données est aussi possible par SMS. Le smishing (contraction de «SMS» et de «phishing»), aussi appelé hameçonnage par SMS, consiste à se servir de SMS ou d'autres messages texte pour inciter une victime potentielle à cliquer sur un lien et, ainsi, à transmettre des informations d'ordre privé à l'escroc.

Les auteurs de messages de smishing se font généralement passer pour des expéditeurs dignes de confiance, comme des détaillants ou des entreprises de logistique connus. Les messages prennent par exemple la forme d'avis d'envoi de colis accompagnés d'un lien qui conduit généralement à une page spécialement préparée par les escrocs et sur laquelle il faut saisir des données personnelles ou les détails de sa carte de crédit.

Mesures concrètes

Ignorez les avis d'envoi de colis qui exigent le paiement de frais.
En cas de doute, et si vous attendez un colis, renseignez-vous directement auprès de l'entreprise de livraison concernée.
N'utilisez que l'application officielle de l'entreprise de livraison.
Si vous avez un doute concernant l'expéditeur d'un SMS, ne cliquez sur aucun lien et ne répondez pas au message.
Ne téléchargez pas d'application même si on vous le demande.

Mesures préventives

Aucune banque ni aucun établissement de carte de crédit ne vous demanderont par SMS de modifier des mots de passe ou de vérifier les données de votre carte de crédit.
Évitez de répondre aux messages provenant de numéros inconnus.
N'installez que les logiciels proposés sur la boutique en ligne officielle du système d'exploitation.

Incidences et risques

En téléchargeant une application malveillante, vous risquez que des données personnelles (notamment des données de connexion) soient récupérées par des escrocs ou même que votre appareil soit entièrement bloqué.
Les escrocs peuvent récupérer vos données de paiement entre autres lorsque vous saisissez un identifiant Apple sur une page falsifiée pour télécharger une application prétendument indispensable, ou quand vous suivez un lien menant à une fausse page de paiement.

Informations complémentaires

Vous trouverez des explications sur smishing sur le site Internet de la Prévention suisse de la criminalité:
Smishing – un SMS qui risque de vous coûter cher