Le phishing : comment vous protéger de la fraude sur internet

Le phishing est l'un des types de cybercriminalité les plus anciens. C'est un outil simple et efficace que les hackers utilisent pour obtenir vos informations confidentielles. Alors pour vous aider à rester vigilant sur internet, nous vous expliquons comment vous protéger du phishing sur internet.

Le phishing existe depuis le milieu des années 90. Ce mot a été inventé par les hackers en référence au terme anglais « fishing » (“la pêche” en anglais). À la différence de la pêche traditionnelle, l'appât est une communication frauduleuse qui prend la forme d'emails, de sms ou d'appels téléphoniques et le but est d’obtenir des informations confidentielles pour en tirer un bénéfice.

Le phishing est délibérément trompeur et consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance. Le message pousse la personne visée à lire l'email pour qu’elle agisse immédiatement. Par exemple, vous pouvez recevoir un email qui semble venir de votre banque, vous annonçant qu'il y a un problème avec votre compte. Pour votre sécurité, on vous demande alors de mettre à jour vos informations personnelles en cliquant sur ce simple lien.

Si vous « mordez » et cliquez sur le lien, vous serez redirigé vers une page qui est une copie conforme du véritable site internet (avec le code couleur et le logo officiel de l’entreprise) et vous demandera de saisir vos informations personnelles. Les hackers peuvent voler des informations confidentielles, comme les mots de passe, les numéros de comptes ou les données d'un passeport. Avec ces informations, les criminels peuvent faire des achats en ligne, voler de l'argent ou usurper des identités.

La sécurité chez N26

Votre sécurité est notre priorité. Découvrez nos conseils pour vous protéger en ligne.

Découvrir le guide de sécurité en ligne

Parce que le phishing vise un nombre immense de victimes potentielles (jusqu'à des millions à la fois), il est un outil très populaire pour les hackers. Il est si populaire que, selon un rapport du FBI en 2017, des gens résidant aux États-Unis se sont fait voler plus de 30 millions de dollars à cause du phishing. Bien que la sécurité des messageries électroniques soit de plus en plus efficace pour détecter de telles attaques, les hackers sont de plus en plus imaginatifs dans leurs approches. Adieu l'époque où des emails mal rédigés promettaient de gagner des millions d’euros. Les emails de phishing modernes contiennent des informations personnalisées, le logo des entreprises ou des adresses URL très ressemblantes.

Même si l'email reste la forme plus courante de phishing, les hackers utilisent souvent de nouvelles techniques pour cibler leurs victimes. Les smartphones sont particulièrement touchés par le « smishing » (des attaques sous la forme de sms), étant donné qu’il est plus difficile à détecter les fraudes sur un écran de téléphone portable.

Grâce au cryptage, les banques en ligne modernes sont très sécurisées. Cependant, le phishing reste le chemin d'accès privilégié des criminels pour obtenir des informations confidentielles. Par exemple, en 2020, une campagne d'hameçonnage par sms a pris pour cible des applications de services bancaires en ligne aux États-Unis. En cliquant sur le lien, les victimes sont dirigées vers une fausse page d'authentification de leur compte en banque. Plus de 4000 personnes ont été victimes de cette fraude.

Plus un email de phishing paraît authentique, plus la victime est susceptible de mordre à l'hameçon. C'est la raison pour laquelle les hackers copient les entreprises les plus connues. Un rapport de 2019 par Vade Secure a révélé que les entreprises les plus populaires copiées par les hackers sont PayPal, Facebook, Microsoft, Netflix et WhatsApp.

Dans ce rapport, on découvre que, la plupart du temps, le message indique une « activité inhabituelle » sur le compte de la personne, nécessitant une vérification immédiate. Mais il existe des approches plus imaginatives, incluant des transactions fictives, ou des factures imaginaires. Des événements populaires peuvent aussi être utilisés pour hameçonner à une plus grande échelle. En 2020, l'Organisation Mondiale de la Santé (OMS) a été victime d'une attaque de phishing. Les emails ressemblaient à des messages instructifs de l'OMS, contenant des instructions pour éviter de diffuser le coronavirus. En utilisant les craintes mondiales autour du virus, les utilisateurs devaient cliquer sur un lien pour avoir accès à un document. Elles accédaient ensuite à une fausse page d'authentification de Microsoft Outlook. Toutes les informations entrées sur cette page ont directement été envoyées aux hackers.

Il existe des formes sophistiquées d'attaques de phishing très difficiles à détecter :

• Le harponnage (« spear phishing ») vise des individus personnellement. Les hackers se renseignent sur leurs cibles et envoient un email personnalisé. Ces attaques ciblent en général des employés, avec des messages censés provenir de leurs collaborateurs. Un rapport d'Europol de 2019 a défini le harponnage comme une nouvelle menace à prendre en sérieusement en considération.
• La chasse à la baleine (« whaling ») est le phishing ciblant des individus importants, comme un PDG et un politicien. De nombreux efforts sont déployés dans ce genre d'attaque car les récompenses sont potentiellement immenses.
• Le hameçonnage par clone (« clone phishing ») est une attaque sophistiquée qui intercepte une véritable correspondance. Le hacker copie en effet un email déjà existant. Pour la victime, l'email semble être une conversation banale, mais il contient souvent un lien malveillant.
• Le « vishing » est du phishing via un appel téléphonique. L'approche est la même : sembler légitime afin d'obtenir des informations confidentielles sur la victime. Soyez toujours prudent lorsqu’on vous demande des informations confidentielles lors d’un appel non-sollicité.

Alors comment faites-vous pour rester vigilant face aux attaques de phishing ? Parfois vous pouvez repérer un email de phishing grâce à sa formule d'introduction (Cher « Monsieur » ou « Madame ») à la place de votre nom. Il est probable que l'email provienne d'une campagne de frauduleuse, surtout s'il s'agit d'une entreprise ou d’un service que vous ne sollicitez pas habituellement.

À chaque fois que vous recevez un email vous demandant d'agir, demandez-vous : cette personne a-t-elle pour habitude de me contacter par email ? Repérez le style et le ton utilisés dans cet email. Y-a-t-il quelque chose de suspect ? Faites attention au nom de l'expéditeur et, si celui-ci est suspect, répondez directement par un nouvel email au lieu de cliquer sur un lien malveillant.

La plupart des emails de phishing incluent un lien vous redirigeant vers un site internet frauduleux. Ces sites de phishing sont le « portail » où vous communiquez, sans le savoir, vos informations personnelles aux hackers. Assurez-vous de vérifier avec précaution l'adresse du site internet en question, par exemple « wwwn26.com » au lieu de « www.n26.com ». Vérifiez que la connexion à ce site est sécurisée, normalement vous devez voir un cadenas à côté de l’adresse URL du site sur lequel vous êtes.

Soyez toujours prudent lorsque l'on vous demande de saisir vos informations confidentielles. Par exemple, le Service Client N26 ne vous demandera jamais votre mot de passe ou votre numéro de carte bancaire. Et ne transmettez jamais les 10 chiffres de votre carte de débit (ne prenez pas de photo de ce côté-ci de la carte). Voici nos autres conseils pour éviter le phishing :

• Assurez-vous que votre ordinateur possède un logiciel antivirus à jour.
• Installez une extension anti-phishing sur votre navigateur internet.
• Créez un mot de passe fort et sécurisé, et veillez à utiliser des mots de passe différents.
• Assurez-vous que les dernières mises à jour sont effectuées sur votre téléphone portable.
• Activez la double authentification, c’est une étape supplémentaire pour sécuriser l’accès à votre compte, par exemple cela peut être un code envoyé sur votre téléphone portable.
• Ne publiez jamais d'informations personnelles ouvertement en ligne, ces informations peuvent être utilisées par les hackers.

Le phishing est en constante évolution, vous pouvez être victime d'une attaque de phishing même en étant vigilant. Si cela vous arrive, il existe plusieurs façons de reporter l'incident :

• Contactez votre fournisseur d'email directement. Par exemple, contactez l'assistance Google.
• Contactez l'entreprise dont le site a été copié, pour qu'ils soient au courant de ce qui est arrivé, et qu’ils puissent agir en conséquence.
• Si vos informations ont été volées, contactez le service cybercriminalité des forces de l’ordre à proximité de chez vous. Les clients N26 peuvent nous signaler ce type d’incident en nous contactant directement via notre Livechat depuis l’application N26 ou leur espace client en ligne. Cependant, le phishing est une technique populaire et vous devez être le plus vigilant possible. Alors, soyez attentif, et mettez de côté cet article pour éviter d'être victime de hameçonnage.

Le compte bancaire pour gérer votre budget plus simplement

Découvrez le compte bancaire premium qui vous redonne le contrôle de votre argent grâce à des fonctionnalités intuitives et services innovants. Gérez votre compte en temps réel, et plus simplement avec N26 Smart.

Ouvrir un compte bancaire (nouvel onglet)

Chez N26, la sécurité est notre priorité et c’est pourquoi nous souhaitons vous sensibiliser aux problématiques du phishing. Nous avons une équipe en interne entièrement dédiée à ce type de menaces, qui met tout en oeuvre pour garantir la sécurité de votre compte en toutes circonstances. Si vous êtes client N26 et que vous avez été la cible d’une attaque de phishing, vous pouvez nous contacter par email support@n26.com ou directement via notre Livechat depuis votre application mobile.