Numérique

Spear phishing : halte au piège

Le 29/01/2019
par Samira Hamiche
Vous avez sans doute entendu parler du "phishing", anglicisme d’usage pour désigner le "hameçonnage" (ou "filoutage") : des mails (ou sms) faussement officiels visant à soutirer vos données personnelles. Le "spear phishing", lui, va plus loin, en usurpant l'identité de vos contacts…
Partager :
Lutte spear phishing

A la pêche aux infos

Le phising consiste le plus souvent à arnaquer financièrement des internautes peu familiers des usages du web, en récupérant des données bancaires ou de connexion (identifiant / mot de passe). Souvent, cela passe par un envoi massif de mails (spam). L’adresse mail du pirate imite celle d’une institution, un lien invite à remplir un formulaire semblable à celui d’une administration… Que l’utilisateur “piégé” remplit de ses données personnelles… 

Contact de confiance ?

Le spear phishing est encore plus vicieux ! L’arnaque passe par l’adresse mail d’un de vos contacts, dont la boîte a été piratée. L’expéditeur malveillant aura évidemment pris soin de repérer ses habitudes et contacts les plus proches pour être plus convaincant. Le message joue sur un sentiment d’urgence.

Exemple de message :

“Je me suis fait voler mon portable et ma carte bleue, je suis en déplacement et la banque ne répond pas ! Tu peux m’envoyer ton code de CB par mail stp ?”

Autres arnaques devenues courantes : les cagnottes d’anniversaire, de mariage… Qui finissent dans la poche des pirates. 

Et les pros ? 

Pour les pros, c’est encore plus insidieux : le pirate se fait passer pour un client, un fournisseur connus, pour vous inciter à ouvrir une pièce jointe corrompue ou un lien vers un site web malveillant. Il arrive ensuite à obtenir les droits d’administrateur d’un poste pour accéder à des infos confidentielles. Avant d’effacer ses traces…

Soyez instinctif

Un mail mal orthographié peut mettre la puce à l’oreille, de même que l’heure d’envoi, si vous connaissez bien l’expéditeur supposé. Un doute ? Appelez votre contact ! Dans tous les cas, il faut en parler au premier concerné...

Les règles d’or

  • Mettez votre système à jour pour éviter les failles de sécurité.
  • Méfiez-vous des extensions des pièces jointes qui paraissent douteuses (pif ; .com ; .bat ; .exe ; .vbs ; .lnk…)
  • Utilisez un compte utilisateur plutôt qu’administrateur.
  • Privilégiez les liens débutant par "https" et non "http".
  • Utilisez un antivirus ou un parefeu.
  • Utilisez le filtre anti-filoutage du navigateur internet et le filtre anti-spam.

Qui contacter ?

En cas de doute sur un courrier électronique, signalez-le sur internet-signalement.gouv.fr  puis supprimez-le de votre boite mail. En cas de soupçon ou vol, appelez votre banque pour prévenir de la situation. Connectez-vous le plus rapidement possible sur vos sessions et comptes sensibles et changez vos mots de passe. Des policiers et gendarmes spécialisés peuvent vous conseiller via INFO ESCROQUERIES, au 0805 805 817 (appel gratuit). N’hésitez pas à porter plainte.

Partager :