Digitalisation & Tendances

Phishing : faites confiance à votre instinct

Le phishing ou hameçonnage en français reste la cyber-menace la plus courante pour les entreprises. Il importe avant tout de se fier à son instinct et de rester sur ses gardes. Le transfert de connaissances peut vous aider à vous protéger contre ces types de fraude. C’est le but poursuivi par ce blog.

Sage Team
9 min de lecture

Vous pensez peut-être que la cybersécurité est un jeu sophistiqué du chat et de la souris entre criminels et professionnels de l’informatique. Vous imaginez sans doute des pirates installés dans des pièces obscures, rivés à leurs écrans, essayant de percer les systèmes de défense les plus récents. Mais ce scénario n’existe plus depuis déjà bien longtemps. Les criminels s’attaquent désormais à tout le monde. À une échelle épidémique. Autrement dit, vous, vos collègues, votre famille et vos amis. Dans 95 % de tous les cas de cyberattaque réussie, le facteur humain joue un rôle déterminant.

Que pouvez-vous faire ? Pour faire simple : face à une tentative d’hameçonnage, vous devez faire confiance à votre intuition, de sorte à savoir, instinctivement, que quelque chose ne va pas. Cela implique de cerner le danger et de savoir comment réagir.

Voici les points abordés dans ce billet de blog :

Les entreprises sont des proies faciles pour le phishing

Les entreprises sont une cible de plus en plus prisée pour le phishing. Selon le Baromètre de la cybersécurité 2024 de VLAIO/ECOOM, 45,8 % des entreprises flamandes ont déjà été victimes d’une cyberattaque, dont une sur dix a occasionné des dommages. Plus de 70 % des PME flamandes pensaient être bien protégées, mais, souvent, cette confiance en soi ne correspond pas à la réalité.

Selon le rapport de la CIFAS Global Anti-Scam Alliance britannique, 71 % des victimes ne procèdent à aucune déclaration auprès de la police. Souvent par honte : « Comment ai-je pu être aussi stupide pour tomber dans le panneau ? » Selon le rapport de CIFAS, les consommateurs perdent en moyenne 1.400  livres sterling lorsqu’ils sont victimes d’une escroquerie. Au total, 11,4 milliards de livres sont tombées dans l’escarcelle des escrocs au cours des 12 mois précédant le mois de novembre 2024.

Le phishing, quésaco ?

La meilleure manière de définir le phishing est de parler de manipulation psychologique : les criminels vous incitent à faire quelque chose que vous ne feriez pas en d’autres circonstances. Par exemple, cliquer sur un lien, ouvrir une pièce jointe, partager un mot de passe, donner un code de vérification unique ou transférer de l’argent sur le compte de l’escroc. Ou tout à la fois, comme c’est souvent le cas. Les tentatives d’hameçonnage peuvent se faire par le biais de messages textuels, de réseaux sociaux, de courriels ou même de lettres envoyées à votre adresse postale.

Vous pensez peut-être que vous ne tomberiez pas dans le panneau ? Après tout, vous n’êtes pas crédule ! Mais le phishing vous fait justement croire que le message provient d’une personne que vous connaissez et en qui vous avez confiance. Cette marque ou ce nom familier est utilisé à mauvais escient pour assoupir votre vigilance. Un ami vous envoie un texto pour vous dire qu’il a perdu son smartphone. Votre patron vous envoie un message sur WhatsApp parce qu’il a créé un nouveau compte. Votre banque vous appelle à l’improviste pour vous dire que votre compte a été piraté. Microsoft vous envoie un courriel parce que votre ordinateur a besoin d’une importante mise à jour de sécurité.

Le phishing ne consiste pas tant en piratage de mots de passe qu’en une forme extrêmement efficace de tromperie. C’est précisément la raison pour laquelle les mécanismes de défense humains sont les plus efficaces, à savoir :

  • ne jamais pas se précipiter,
  • prêter attention aux incohérences,
  • écouter son intuition que quelque chose « cloche ».

Pourquoi le phishing est-il si efficace ?

L’hameçonnage n’est pas un phénomène nouveau. Il existe depuis le milieu des années 1990 lorsque des escrocs américains se sont fait passer pour des employés d’AOL afin d’escroquer les utilisateurs d’AOL. C’est également à cette époque qu’il a pris son nom : le préfixe « ph » provient d’une ancienne forme de cybercriminalité, le phreaking, où des pirates détournaient le réseau téléphonique pour passer des appels gratuits. À l’époque, l’objectif principal était de dérober des mots de passe.

L’aspect psychologique n’a pas changé depuis lors, mais l’ampleur et la sophistication ont évolué, avec de faux sites Internet à l’identité visuelle parfaitement recréée et des messages urgents. Les escrocs utilisent souvent des technologies dernier cri, tels que les deepfakes, avec des voix, des textes, des images ou même des vidéos (y compris des appels vidéo en direct) générés par l’intelligence artificielle.

Le site qu’ils vous envoient ressemble très précisément à celui de votre banque. Le message vocal ressemble exactement aux tonalités de votre collègue ou de votre proche. Le message SMS semble authentique, avec le nom ou le numéro falsifié correct. Parfois, les escrocs ne demandent pas directement de l’argent mais vous demandent d’acheter des cartes-cadeaux en ligne et de transmettre les codes. Mais rien, au fond, n’a changé depuis l’époque d’AOL. Le message reste « Réagissez maintenant avant que quelque chose de grave ne se produise ». En reconnaissant ce schéma, vous avez déjà fait la moitié du travail de défense.

A quoi ressemble une attaque de phishing ?

Concrètement, une attaque par hameçonnage peut se dérouler comme suit.

1. L’appât

Vous recevez un SMS qui semble provenir de votre banque : « Nous avons détecté un paiement suspect. Cliquez ici pour sécuriser votre compte ». Vous recevez un lien qui, à première vue, semble correct (par exemple, commerzbank-secure-banking.net). Quelques minutes plus tard, vous recevez un appel. Le nom de cette banque s’affiche sur votre écran. L’interlocuteur se réfère au SMS reçu et vous donne un « numéro de dossier ». Il peut même mentionner votre adresse ou votre date de naissance : des données issues de bases de données piratées.

2. La pression

L’interlocuteur vous dit que l’argent va être transféré à l’instant même et qu’il faut « sécuriser » votre compte. Il vous dirige vers une page de connexion professionnelle, une copie parfaite de votre banque. Dès que vous vous connectez, vous recevez un SMS, même si vous êtes toujours en ligne avec la « banque ». Vous voyez que vous avez reçu un code d’accès à usage unique. Il vous est demandé de formuler ce code à haute voix « pour vérification ».

Un autre scénario consiste à vous demander de vous connecter via votre lien de confiance ou votre application bancaire et de transférer de l’argent sur un soi-disant « compte sécurisé » où il sera conservé jusqu’à ce que la banque ait trouvé une solution au problème.

3. La brèche

Lorsque vous entrez vos données de connexion sur le faux site, elles sont interceptées instantanément. Si vous lisez un mot de passe (ou approuvez une notification push), les escrocs l’utilisent en temps réel. Et c’est ainsi qu’ils obtiennent le contrôle de votre compte bancaire. C’est aussi simple que cela.

Si vous transférez vous-même de l’argent de votre compte bancaire vers le compte de l’escroc, vous entrez dans un schéma de fraude par paiement push autorisé. Les victimes sont manipulées pour transférer de l’argent. C’est là l’une des formes de fraude les plus courantes.

4. L’issue

L’appelant « clôt le dossier » et vous remercie de votre réactivité. Vous raccrochez avec soulagement : « Ouf, il était moins une. » Mais quelques heures plus tard, vous constatez des transactions non autorisées ou vous découvrez que le compte supposé sûr était celui des malfaiteurs.

Un seul mot d’ordre : appeler immédiatement votre banque si cela se produit. Voici la marche à suivre.

Que pouvez-vous faire ?

Au premier signe de doute, la sensation que quelque chose ne va pas, vous devez vous déconnecter et appeler votre banque ou l’organisme chargé de faire opposition à votre carte. De préférence, appelez le numéro à partir d’un autre téléphone que celui sur lequel vous avez été appelé. Les escrocs peuvent garder la ligne d’un téléphone fixe ouverte, vous faisant croire que vous avez raccroché alors que ce n’est pas le cas. Ils jouent même de fausses tonalités pour vous faire croire que la ligne est libre.

S’il s’agit d’une activité suspecte, vous faites le bon choix : en appelant votre banque, vous vous adressez aux bonnes personnes pour résoudre le problème. Transférez les SMS et les courriels suspects à safeonweb.be, puis supprimez-les.

Conseils

Quelques conseils pratiques pour vous protéger, vous et votre entreprise, contre le phishing :

  1. Prenez le temps de réfléchir. Toute pression est suspecte. Si vous avez vraiment votre banque en ligne, cinq minutes ne feront pas la différence. Vérifiez les données via votre application ou votre téléphone.
  2. Passez à un autre canal pour vérifier. Ne répondez pas immédiatement. Ne cliquez pas sur le lien. Utilisez un canal de confiance que vous utilisez habituellement, par exemple votre application bancaire, le favori de votre banque en ligne ou le numéro de téléphone officiel de la banque. Par exemple, le numéro figurant au dos de vos cartes de débit et de crédit mais certainement pas le numéro indiqué dans le courriel suspect !
  3. Ne divulguez jamais, au grand jamais, un code unique. Les codes uniques que vous recevez par SMS ou par l’intermédiaire d’une application d’authentification ne doivent jamais être partagés ni même être prononcés à haute voix ! C’est ainsi que les escrocs légitiment leur fraude. Si quelqu’un vous le demande, mettez-y un terme immédiatement. Personne de réglo ne vous demandera jamais une telle chose. Vous recevez une demande d’authentification à l’improviste ? N’y répondez pas.

Assurez-vous que vous et vos collègues connaissez les conseils du Centre for Cybersecurity Belgium. Il s’agit d’une excellente source d’information, facile à contacter. Mais avant toute chose, n’oubliez jamais que nous avons tous de l’intuition. C’est un mécanisme de défense puissant, à condition de l’écouter…

Remarques finales

Le monde en ligne est un univers formidable mais, en même temps, une jungle où les criminels sévissent quotidiennement. La vigilance est donc essentielle. S’il est vrai qu’elle ne doit pas entraver vos activités en ligne, elle n’en reste pas moins que vous devez rester sur vos gardes, à tout moment…

Abonnez-vous à la newsletter Sage Advice et recevez, directement dans votre boîte email, nos tous derniers conseils.

S'abonner

Parcourir plus de sujets depuis cet article

Explorez plus d’articles enrichissants

En savoir plus sur ce sujet