Arnaques à l'hameçonnage : le guide ultime

E-mail, SMS, réseaux sociaux… Les arnaques par hameçonnage (« phishing » en anglais) sont de plus en plus fréquentes et protéiformes, au point de rendre insupportable notre vie connectée. Comment les reconnaître et s'en prémunir ? Voici notre guide complet.

Par ETX Studio

Publié le : 07/10/2024

Getty/Simarik

Les relances concernant votre carte vitale périmée, votre contravention à payer (alors que vous n'avez pas le permis) ou votre enfant à sauver sont incessantes. Ces messages, qui se terminent par un lien sur lequel il ne faut surtout pas cliquer, sont purement des arnaques par phishing (hameçonnage en français). Il s'agit du principal mode opératoire utilisé par les cybercriminels pour dérober des données. Par message électronique (e-mail), SMS ou encore par téléphone, il consiste à usurper l'identité d'un tiers de confiance (banque, administration, réseau social, entreprise de livraison, commerce en ligne…) pour tromper la victime et l'inciter à communiquer ses éléments d'identité, ses mots de passe ou ses identifiants bancaires. Les informations dérobées sont ensuite directement utilisées par les escrocs ou revendues à d'autres cybercriminels pour mener diverses actions frauduleuses (piratage de compte en ligne, fraude à la carte bancaire, usurpation d'identité, hameçonnage ciblé sur la victime…).

Si vous avez mordu à l'hameçon, sachez que vous n'êtes pas seul. Selon le dernier rapport annuel de cybermalveillance.gouv.fr, le phishing est et reste la première cause de recherche d'assistance : le site comptabilise plus de 3 millions de visiteurs en quête de réponses et d'accompagnement sur le sujet. Toujours plus nombreuses, ces arnaques à l'hameçonnage prennent de nouvelles formes et deviennent difficiles à cerner. C'est pourquoi nous vous proposons ce guide pour démasquer les arnaques, s'en protéger et agir. Du quishing (via le QR code) au skimming (paiement en ligne) en passant par le smishing (via SMS) et le doxing (révélations de données personnelles), on vous explique tout.

Pour en savoir plus : Arnaque à l'hameçonnage : savoir la reconnaître et y répondre

Le smishing

Vous recevez un SMS provenant d'un numéro inconnu, qui vous invite à cliquer sur un lien pour divers motifs (facture Netflix impayée ou colis à récupérer). Une fois que vous avez cliqué, vous êtes renvoyé vers une page sur laquelle vous devez renseigner des informations personnelles comme vos identifiants. Le lien frauduleux peut vous amener aussi, mais c'est plus rare, à télécharger un virus qui pourrait infecter votre portable, vous incitant à installer un logiciel espion.

Exemples de SMS frauduleux ©cybermalveillance.fr

Nos recommandations :

  • Ne téléchargez jamais d'application en dehors des sites ou magasins officiels. Si, après avoir cliqué sur un lien dans un SMS, une alerte s'affiche et vous invite à télécharger ou mettre à jour une application, ne donnez pas suite et fermez la page.
  • Si vous avez la possibilité d'utiliser la double authentification proposée par ces sites ou applications, vous serez davantage protégé.
  • Au moindre doute, vérifiez l'information du message reçu par vous-même sur le moteur de vérification du site Orange Cybersecure (cybersecurite.orange.fr) ou contactez directement la société depuis votre espace personnel pour vous assurer qu'il s'agit bien d'un message dont elle est à l'origine.
  • Signalez le message frauduleux sur la plateforme 33700 ou transférez-le par SMS au 33700. Ce service gratuit permet de bloquer l'émetteur du message.
  • Pour en savoir plus : Arnaque par SMS : comment éviter le piège du hameçonnage ?

Le quishing

Le hacker commence par générer un QR code. Envoyé par mail, SMS, ou affiché dans l'espace public, ce QR code contient un malware. Il peut aussi vous être envoyé par voie postale, à l'instar des faux courriers Amazon où le faux QR code à flasher vous ferait soi-disant gagner des cadeaux.

Une fois que la victime l'a scanné, soit elle est amenée à renseigner ses informations personnelles, soit à télécharger un fichier dont le but est de compromettre son appareil. In fine, le hacker accède aux données de la victime. Des utilisateurs de certains sites en ont récemment fait les frais.

Nos recommandations :

  • Offres trop alléchantes, messages à caractère urgent, alertes relatives à une situation critique et demandes de renseignements personnels sont autant de signes distinctifs dont vous devez vous méfier.
  • Lorsque vous avez un doute sur la provenance du message, ne cliquez jamais sur les liens. Même si l'émetteur est fiable, les QR codes accessibles dans les lieux publics peuvent être remplacés par des personnes malveillantes. Évitez donc de les scanner. Si tel était le cas, vérifiez l'URL du site sur Orange Cybersecure avec un simple copier/coller du lien qui s'affiche dans le navigateur.

Pour en savoir plus : Attention au quishing, l'arnaque au QR code

Le vishing

L'hameçonnage vocal est une technique de fraude par téléphone avec diverses approches. Pour opérer, le cybercriminel, dans ce cas nommé “Allo”, peut procéder ainsi :

  1. Il envoie un SMS avec un lien qui redirige vers un site — généralement une imitation de site officiel — sur lequel il faut renseigner ses informations personnelles (identifiants, mail, téléphone, coordonnées bancaires) ;
  2. L'escroc appelle ensuite en se faisant passer pour le service anti-fraude de l'organisme et met en confiance son interlocuteur pour lui retirer ses données personnelles. Il souligne le caractère urgent d'une situation (virements bancaires, paiement d'une somme importante ou d'un achat non habituel) pour presser la victime et l'inciter à fournir des informations qui permettront au fraudeur de se connecter à l'espace personnel et récupérer les données sensibles.

Dans le cas du vishing, le volet psychologique est indéniable. La victime réagit à chaud, et à tort. Souvent, elle prend conscience de l'escroquerie juste après l'appel lorsqu'il est trop tard.

Nos recommandations :

  • Méfiez-vous toujours du caractère urgent ou pressant de la demande.
  • Opération, annulation ou blocage… Ne validez une action que si vous en êtes à l'origine.
  • Refusez toute demande de contrôle à distance de vos appareils électroniques.

Pour en savoir plus : Le vishing, une arnaque téléphonique aux multiples techniques

Le catfishing

L'arnaque aux sentiments consiste à se cacher derrière un faux profil pour entamer une relation virtuelle avec une personne rencontrée en ligne et profiter de sa crédulité pour lui extorquer de l'argent. Cependant, l'escroc, qualifié de “brouteur”, reste injoignable par téléphone et a toujours une bonne excuse pour ne jamais rencontrer l'autre.

Nos recommandations :

  • Vous pouvez proposer à votre interlocuteur de le rencontrer… S'il refuse, et à plusieurs reprises, mettez-fin à cette conversation.
  • Si vous êtes victime, déposez plainte sur Thésée, la plate-forme créée par le ministère de l'Intérieur pour signaler les arnaques.
  • Si vous avez besoin d'assistance, connectez-vous sur cybermalveillance.gouv.fr ou si vous êtes client Orange Cybersecure, contactez les Spécialistes Cyber, disponibles 7j/7 de 8h à 22h.

Pour en savoir plus : Arnaque à l'amour : l'escroquerie qui joue avec vos sentiments

Le doxing

Le cybercriminel extorque à la victime des informations personnelles dont il se sert ensuite comme moyen de chantage. Il peut s'agir de son adresse, son patronyme réel, ses identifiants sur les réseaux sociaux, son numéro de téléphone, d'informations sur sa famille, ou encore de ses numéros de carte bancaire et de sécurité sociale.

Nos recommandations :

  • Pour préserver votre anonymat, évitez les réseaux Wi-Fi publics ou les réseaux privés sans mot de passe.
  • Si vous répondez à des questionnaires en ligne (à éviter de manière générale), ne communiquez pas sans vigilance vos données personnelles.
  • Vos informations bancaires ont été divulguées ? Signalez-le immédiatement à votre banque.

Pour en savoir plus : Doxing : comment protéger votre identité en ligne ?

Le ping-call

Un numéro inconnu vous appelle de manière très brève sans que vous ayez le temps de décrocher. Intrigué, vous rappelez immédiatement sauf qu'il n'y a personne au bout du fil et que cela vous coûte de l'argent car cet appel est facturé. Cette incitation à rappeler se cache aussi dans les sms ou les spam vocaux, où l'on vous promet un cadeau à la clé si vous rappelez le numéro indiqué.

Nos recommandations :

  • Ne jamais rappeler un numéro que vous ne connaissez pas.
  • Si un même numéro vous harcèle sans laisser de message, bloquez-le. Rendez-vous dans l'historique des appels, appuyez sur l'élément à droite — généralement un “i” pour “informations” — qui vous permet d'accéder aux informations sur l'appel provenant du numéro que vous voulez bloquer puis cliquez sur “Bloquer” ou “Signaler comme spam”.
  • Si vous êtes client Orange ou Sosh, installez les applications Orange et moi ou MySosh qui permettent de signaler les appels indésirables.
  • Vous avez un doute sur ce numéro ? Transférez-le au 33700. Plus il y aura de signalements, plus vous éviterez que d'autres personnes se fassent piéger.

Pour en savoir plus : Arnaques "Ping Call" : ces faux appels qui coûtent cher

Le skimming

Cette arnaque indétectable récupère vos données bancaires sur des sites de shopping en ligne très fréquentés. Profitant des failles des gestionnaires de site internet, les hackers parviennent à s'infiltrer dans les pages de paiement pour insérer des scripts malveillants puis récupérer en temps réel les informations des cartes bancaires. Le tout sans changer l'apparence du site infecté et sans impacter la transaction en cours…

Nos recommandations :

  • Pour renforcer votre sécurité, utilisez la validation par double authentification proposée par votre banque. Générez une carte virtuelle à usage unique si la fonctionnalité est disponible.
  • Prenez garde aux sites inconnus et aux offres trop alléchantes.
  • Évitez d'enregistrer vos coordonnées bancaires sur les sites marchands.

Pour en savoir plus : Skimming : ce piratage invisible qui vous dépouille

Pour lutter contre le phishing, plusieurs actions sont à mener :

  • En amont via, par exemple, la fonction Anti-Spam appels des applications Orange et moi ou MySosh, disponible sur iOS et Android. Vous pouvez également souscrire à l'offre Orange Cybersecure pour une protection complète et automatique de vos équipements et de votre vie privée. Un spécialiste Cyber est également disponible par téléphone quand vous en avez besoin de 8h à 22h.
  • Pendant une tentative de fraude, avec le portail Orange Cybersecure, service d'accompagnement gratuit qui permet à tous les internautes de vérifier qu'une page ou qu'un lien Internet (URL) ne sont pas frauduleux. Ce site propose également des articles de sensibilisation, des guides pratiques sur la cybersécurité ainsi que des ateliers numériques. Enfin, signalez le message frauduleux sur la plateforme 33700.fr ou transférez-le par SMS au 33700. Ce service gratuit permet de bloquer l'émetteur du message.
  • Après une fraude avérée, contactez immédiatement votre banque et portez plainte sur la plateforme Thésée, au plus tard 72 heures après avoir pris connaissance de l'attaque. Passé ce délai, vous risquez d'être privé d'indemnisation.
Abonnez-vous à notre newsletter