Votre banque ou un imposteur ? Le phishing est une fraude en ligne qui brouille les pistes pour vider vos comptes. Découvrez comment le déjouer !
Vous en avez peut-être déjà entendu parler : le phishing — ou hameçonnage en français — est une escroquerie utilisée par les cybercriminels depuis plusieurs années. Vols de données, usurpation d’identité ou pillage de comptes bancaires, les cyberescrocs ne manquent pas d’imagination pour vous nuire et ils peuvent compter sur des nouvelles technologies et des méthodes toujours plus sophistiquées, notamment l’intelligence artificielle (phishing IA). De quoi s’agit-il ? Comment vous protéger ? Et comment agir ? On vous aide à y voir plus clair…
Le but de la fraude est assez simple à comprendre : les cybercriminels tentent de « pêcher » vos données confidentielles, telles que votre numéro de compte en banque, le code secret de votre carte bancaire ou simplement votre code CVV, vos mots de passe, votre numéro de carte d’identité, etc. Une fois en possession de ces « sésames », ils vont essayer de vider vos comptes bancaires ou de vous dérober de l’argent en usurpant votre identité.
Les cyberarnaqueurs tentent donc par tous les moyens de vous faire baisser la garde en se faisant passer pour des « entités » légitimes et de confiance : votre banque, un service public, un fournisseur d’énergie, un site de vente en ligne, une plateforme de streaming comme Netflix et même un membre de votre famille ou un ami. Par e-mail, SMS, WhatsApp, Facebook Messenger ou téléphone, ils vous font croire que vous dialoguez avec un tiers de confiance. Vous pensez qu’il faut être « idiot » pour tomber dans le panneau ? Détrompez-vous : c’est tellement bien réalisé que ça passe, même pour les personnes aguerries, notamment à cause des outils d’intelligence artificielle (IA). Regardons de plus près ce phénomène croissant…
Avec les nouvelles technologies, les cybercriminels disposent d’armes toujours plus redoutables pour tenter de vous faire mordre à l’hameçon. Cela leur permet de mettre au point de nouvelles méthodes de phishing IA ou de cyberfraude pour :
Ces escrocs numériques peuvent désormais pousser très loin la personnalisation des appâts et vous cibler de façon toujours plus précise. Grâce aux algorithmes puissants d’IA, ils glanent rapidement vos informations personnelles sur le web — sur votre compte Facebook ou Instagram, vos différents profils digitaux, votre messagerie WhatsApp — afin de reproduire des communications réellement bluffantes. Pour réussir cette « pêche fine », plus ils en savent sur vous, mieux ils peuvent vous tromper.
Ce n’est pas un hasard si les messages frauduleux reçus par SMS (smishing) se multiplient et atteignent leur objectif : ils sont plus personnalisés et convaincants que jamais. Un ami qui vous demande une aide financière rapide ? Votre enfant parti en vacances qui vous dit qu’il a perdu son portefeuille ? Votre boss qui réclame une réunion virtuelle inopinée ?
Autre approche : la « pêche au gros ». Ils utilisent alors des robots numériques pour envoyer d’énormes quantités de messages plus « généraux » à un très grand nombre de victimes potentielles. Par exemple, veuillez renouveler votre abonnement Netflix.
Cela vous semble trop simple ou trop gros ? Il faut garder à l’esprit que nous cliquons toujours plus vite sur OK, souvent sans prendre le temps de lire le message reçu. De plus, les « appâts » sont tellement bien ficelés qu’il est parfois difficile de différencier le réel du fake… Logo, mise en page, personnalisation, ton du message ou faux sites internet, les arnaques sont plus vraies que nature, notamment grâce aux « contenus » générés par l’intelligence artificielle. En effet, les cybercriminels peuvent désormais produire des vidéos, des messages vocaux ou des photos qui imitent parfaitement vos proches, votre banquier, vos collègues ou vos amis.
Connaissez-vous le deepfake ? Cette technique (effrayante) utilise l’intelligence artificielle pour créer ou modifier des vidéos et des images. À Hong Kong, un employé travaillant dans la finance est tombé dans ce cyberpiège et tout a commencé par un e-mail de phishing… Bien informés, les cybercriminels se sont fait passer pour le directeur financier de la société asiatique et envoyé un faux e-mail au malheureux salarié : une invitation à participer à une visioconférence. Malgré sa méfiance, le collaborateur piégé a cliqué sur le lien. Au cours de la réunion virtuelle truquée, les fraudeurs, sous les traits du directeur, lui ont demandé d’effectuer plusieurs transferts d’argent… Malheureusement, tout était faux, sauf le résultat de l’opération : une escroquerie à 24 millions d’euros !
Vous l’avez compris : les cybercriminels sont très créatifs. Il existe une multitude de méthodes de fraude en fonction du mode de communication (SMS, e-mail, téléphone, réseaux sociaux, etc.) et de l’action qui vous est sollicitée (cliquer sur un lien, remplir un formulaire, documents partagés, etc.).
Quelques exemples :
Mais la vigilance est de mise, car cela peut aussi être une fausse invitation calendrier, une annonce sur un site de vente en seconde main, un faux QR code pour payer une prétendue facture et même un WhatsApp se faisant passer pour quelqu’un que vous connaissez vraiment ! Voilà pourquoi certains signaux doivent vous alerter…
Pour vous faire mordre à l’hameçon, les cybercriminels investissent donc beaucoup d’efforts et de moyens. Mais le scénario est souvent le même :
Selon Febelfin*, environ 40 millions d’euros ont été dérobés par le biais du phishing en Belgique au cours de l’année 2023. C’est évidemment énorme ! Un véritable fléau qui ne cesse d’augmenter et qui a connu un boom pendant la période covid.
Toujours selon la même source, 69% des Belges ont reçu au moins un message de phishing au cours des 6 derniers mois. Plus inquiétant : seules 62% des victimes belges d’hameçonnage connaissaient les mesures à prendre en cas de message frauduleux. Voilà pourquoi il est capital d’être informé·e et attentif·ve. Comment faire ?
Vous êtes victime d’une fraude ? Vous avez fourni vos données personnelles ? Ce n’est peut-être pas trop tard : on vous explique comment réagir.
* https://febelfin.be/fr/presse/fraude-et-securite/le-phishing-ca-se-joue-dans-les-details