Arnaques et Piratages - Phishing

L’hameçonnage (phishing)

L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.

But recherché :

Voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux.

L’hameçonnage (ou phishing en anglais) – Cybermalveillance.gouv.fr

1. Quelles sont les mesures préventives ?

  • 1. Ne communiquez jamais d’informations sensibles par messagerie ou téléphone :
    Aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.
  • 2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer) ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance ou allez directement sur le site de l’organisme en question par un lien favori que vous aurez vous-même créé.
  • 3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur.
    Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Au moindre doute, ne fournissez aucune information et fermez immédiatement la page correspondante.
  • 4. En cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
  • 5. Utilisez des mots de passe différents et complexes pour chaque site et application afin d’éviter que le vol d’un de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez également utiliser des coffres forts numériques de type KeePass pour stocker de manière sécurisée vos différents mots de passe.
  • 6. Si le site le permet, vérifiez les date et heure de dernière connexion à votre compteafin de repérer si des accès illégitimes ont été réalisés.
  • 7. Si le site vous le permet, activez la double authentification pour sécuriser vos accès.

2. Que faire si vous êtes victime d’hameçonnage (ou phishing) ?

  1. Au moindre doute, contactez l’organisme concerné :
    En cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
  2. Faites opposition immédiatement :
    Si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre organisme bancaire ou financier.
  3. Conservez les preuves et, en particulier, le message d’hameçonnage reçu.
  4. Déposez plainte :
    Si vous avez constaté que des informations personnelles servent à usurper votre identité ou si vous constatez des débits frauduleux sur vos comptes bancaires, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal de grande instance dont vous dépendez en fournissant toutes les preuves en votre possession.

    Si vous êtes un particulier,vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.
  5. Changez immédiatement vos mots de passe :
    Si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis (tous nos conseils pour gérer au mieux vos mots de passe).
  6. Signalez tout message ou site douteux à Signal Spam : 
    Si vous avez reçu un message douteux, ne cliquez par sur les pièces jointes ou sur le lien suspect. Si le message comporte un lien, positionnez le curseur de votre souris sur ce lien (sans cliquer). Cela affichera alors la véritable adresse vers laquelle il redirige afin d’en vérifier la vraisemblance.
    Si vous avez cliqué sur le lien, vérifiez l’adresse du site Internet qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper.
    Ne répondez pas à ces messages suspects et signalez-les à Signal Spam qui est associé à la CNIL pour identifier les principaux émetteurs de spams et mener les actions de luttes nécessaires.
  7. Signalez l’adresse d’un site d’hameçonnage à Phishing Initiative : 
    Vérifiez l’adresse du site Internet qui s’affiche sur votre navigateur. Si elle ne correspond pas exactement au site concerné, il s’agit très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Face à un site suspect, vous pouvez le signaler à Phishing Initiative qui bloquera l’adresse de ce site et demandera sa suppression.
  8. Besoin de plus de conseils ? 
    Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits de 9h à 18h30 du lundi au vendredi).
« La minute Info » sur le thème de l’hameçonnage (phishing) réalisée en partenariat avec l’Institut National de la Consommation
Si vous faîtes le choix de déposer plainte, cette démarche devra obligatoirement s’appuyer sur la bonne qualification d’infraction sous peine de classement sans suite de votre demande. En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :


• Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

• Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.

• Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.

• Usurpation d’identité (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

• Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle. Délit passible d’une peine d’emprisonnement de trois ans et de 300 000 euros d’amende.

Contenu issu du site Internet undefined


Les conseils de notre Expert Denis JACOPINI :

Cette image a un attribut alt vide ; le nom du fichier est bandeau_denis-jacopini_l740.jpg

Si vous êtes victime d’arnaque ou d’escroquerie ou même de tentative, je ne peux que vous conseiller :

  1. Procéder d’abord à un signalement en bonne et due forme sur le site ministériel https://www.internet-signalement.gouv.fr. Il s’agit d’un site Internet destiné à collecter et traiter les signalements en autres d’escroqueries, d’arnaques etc.
  2. La plateforme gouvernementale cybermalveillance.gouv.fr peut accompagner les personnes victimes de malveillance sur Internet. En fonction de la situation, elle propose les contacts d’organismes et de spécialistes proches de chez vous susceptibles de vous aider. Elle met en ligne des fiches pratiques dispensant de nombreux conseils pour éviter d’être victime de ce type de pratique.
  1. Ensuite, il est important d’aller déposer plainte au bureau de Police ou de Gendarmerie dépendant de votre lieu de résidence ou du lieu de l’infraction. Ceci est le point de départ à la fois de la reconnaissance de votre statut de victime et également le seul moyen permettant d’accéder à des informaitons qui pourraient aboutir à l’identification et la localisation de l’individu en cause, et probablement à votre dédomagement.

Pour que la plainte soit recevable et ait une suite satisfaisante, il est important qu’elle soit déposée avec la ou les bonnes qualifications (il est possible de cumuler les infractions) :

  • Escroquerie (article 313-1 du code pénal) ;
  • Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) ;
  • Usurpation d’identité (article 226-4-1 du code pénal) ;
  • Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) ;
  • Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) ;
  • Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle.

Si votre interlocuteur Policier ou Gendarme cherche à vous dissuader de déposer plainte, notamment en raison de l’absence ou l’insuffisance de preuves, demandez leur qu’ils vous en l’indiquent par écrit. En effet, très souvent, sans preuve, les officiers de Police Judiciaire ne souhaitent pas prendre des plaintes. N’hésitez pas à leur expliquer que vous souhaitez justement déposer plainte pour que l’enquêteur puisse accéder aux preuves auxquelles les simples citoyens n’ont pas accès (interroger les opérateurs ou les fournisseurs de services Internet, retrouver les origines des connexions, récolter de nouvelles preuves) et ainsi leur permettre de remonter jusqu’à l’auteur.

En cas de difficulté pour déposer plainte ou en cas de suite insatisfaisante à votre demande, n’hésitez pas à écrire au Procureur de la République dont dépend ce professionnel de la force publique en précisant bien son nom et les raisons qu’il a évoqué pour refuser de prendre votre plainte. Vous pouvez bien évidemment également vous rapprocher d’un avocat. Si vous disposez d’une protection juridique (faisant souvent partie des contrats d’assurance habitation), de nombreux frais de justice pourraient bien être pris en charge par votre assurance.


Moi, Denis JACOPINI, je ne suis qu’Expert en Informatique assermenté (vous pouvez avoir plus d’informations sur moi en consultant cette page).
Je ne suis ni avocat, ni enquêteur, ni policier, ni magistrat et ma seule rénumération est le fruit de mon travail. Nos démarches se font dans un cadre légal et sont la plupart du temps liées à ces professionnels.
Elles consistent souvent, à la demande de la justice, des avocats, des entreprises ou des particuliers tels que vous à trouver des preuves sur Internetdans des téléphonesdes ordinateurs ou toutes sortes de supports numériques (preuves souvent indispensables pour la bonne marche des procédures judiciaires que vous initierez) et à les vulgariser afin que les destinataires de nos travaux, non techniciens, puissent les comprendre pour mieux les exploiter.
Nos démarches consistent aussi parfois à vous aider à accéder à rechercher des preuves dans des équipements numériques (ordinateurs, smartphones…) afin d’accéder à des informations auxquelles vous n’arrivez pas à avoir accès. Nos démarches se font en respectant les cadres légaux.

Contrairement au dépôts de plaintes, nos démarches ne sont pas sans frais. 

Conseil pouvant s’avérer très utile :

Rien ne vaut une bonne sensibilisation pour éviter ce genre de situation. Pour info, CYBERARNAQUES (le livre !)

undefined

https://www.amazon.fr/Cyberarnaques-Denis-JACOPINI-ebook/dp/B07C9DHWH8
https://livre.fnac.com/a11267131/Denis-Jacopini-Cyberarnaques

Vous souhaitez compléter ces informations ?
Vous souhaitez commenter cet article ?
Laissez-nous un commentaire. Nous nous ferons un plaisir de le lire et pourquoi pas, de le diffuser 😉


Vous souhaitez signaler ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

ARNAQUES & PIRATAGES un service offert par LE NET EXPERT
Expertises NumériquesRecherche de logiciels EspionsFormations
Mise en conformité RGPD Expertises d’Élections par Internet

Les informations figurant dans ce site Internet sont données à titre d’exemple et ne représentent en rien un contenu exhaustif et une incitation à l’utilisation des techniques abordées. Il n’a pour seul but de sensibilier de manière préventive les lecteurs.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.