Nous sommes en pleine période de Noël, une période où les commandes sur Internet s’enchaînent. Puis, en janvier, les soldes feront leur retour dès le 11 janvier et jusqu’au 7 février, encore une belle occasion de faire chauffer la carte bleue en ligne pour vous faire plaisir. Ces deux périodes très « commerciales » sont aussi les préférées des hackers, ils pratiquent ce que l’on appelle le phishing ou hameçonnage. Cette technique utilisée par des fraudeurs pour obtenir des données personnelles, usurper votre identité, ou utiliser votre carte bancaire à votre insu. Mais alors comment prévenir les attaques d’hameçonnage pendant la période des fêtes et des soldes ? On va tout vous expliquer.
Qu’est-ce que le « phishing » ou hameçonnage ?
Comme nous vous l’avons expliqué en introduction, le phishing vise à récupérer des données personnelles vous concernant. Cela peut aller de votre identité, à vos identifiants et mot de passe de compte, à vos numéros de carte bancaire ou encore vos données médicales. Les tentatives d’hameçonnage sont généralement envoyées par courriel, pas SMS (le smishing) ou reçues par téléphone (le vishing). Attention, les hackers sont rusés et entrainés, ils peuvent vous embobiner en quelques secondes.
- Le vishing : au téléphone, ils peuvent se faire passer pour votre opérateur internet, votre banque, la sécurité sociale, une mutuelle, les exemples sont nombreux. Le but de l’appel étant de vous informer d’un changement dans votre contrat, ou d’une mise à jour sur votre box, puis de vous inciter à télécharger un logiciel, qui permettra au pirate de prendre la main sur vos données enregistrées (mot de passe, code bancaire, etc.)
- Les phisings et smishing : par SMS et par mail, vous recevez un message vous indiquant que la banque vous doit de l’argent, ou que vous avez un colis en attente, et dans ce mail, un lien à cliquer. En cliquant sur ce lien, vous lancez l’installation d’un logiciel qui ouvrira toute votre vie personnelle au pirate !
Souvent, les mails, sms ou appels jouent sur l’urgence de votre situation présumée. « Votre téléphone n’a plus de mémoire, il faut le nettoyer… », « Votre box internet a besoin d’une mise à jour urgente… », « Un colis en attente est bloqué et vous ne le recevrez pas. », etc.
Comment reconnaître à coup sûr, une tentative de phishing ?
Le mode opératoire préféré des pirates est de « prendre temporairement » l’identité d’une entreprise ou d’une institution comme la Caisse d’Allocations Familiales, la Sécurité Sociale, votre fournisseur internet, La Poste, votre banque, EDF, GRDF et bien d’autres encore. Lors d’attaques de grande ampleur, visant une entreprise, ou des personnalités importantes, les phishings sont réalisés avec le plus grand soin.
On a vu dernièrement le département de Seine-et-Marne, victime d’une cyberattaque sans précédent, ou encore le Centre Hospitalier Sud Francilien dans l’Essonne subir le même sort. Et malgré les sécurités informatiques, les pirates ont réussi leur coup, anéantissant tous les systèmes informatiques et dans le cas de l’hôpital fermant l’accès aux dossiers des patients, donc au suivi des soins. Dans le cas de tentative de phishing auprès des particuliers, les mails ou SMS sont rédigés avec beaucoup moins d’attention. La plupart du temps les messages comportent des fautes d’orthographe ou de grammaire, ainsi que des erreurs dans le nom de l’entreprise, à une lettre près parfois.
Voici en général, les méthodes préférées des pirates :
- Urgence de la situation. Il faut réagir vite, rapidement pour éviter le pire.
- Gain d’une grosse somme d’argent, d’un cadeau somptueux ou d’un remboursement des impôts inattendu.
- Expéditeur étrange, comme dit précédemment, avec une identité de l’entreprise erronée EFD pour EDF, par exemple !
- Grammaire et orthographe très approximatifs, ou phrases à rallonge, ou incompréhensibles.
- Liens hypertextes (à cliquer) dans le mail ou le SMS qui mènent vers de fausses pages, celles où l’on vous demandera d’indiquer vos coordonnées bancaires en général.
- Pièces jointes attention, en les ouvrant, vous ouvrez votre système à l’installation de logiciels malveillants qui permettront au pirate de pomper vos données personnelles !
Comment se protéger du phishing, smashing, vishing ?
Il est important de savoir que tout le monde peut être concerné par le piratage des données, et de sa vie privée, même les utilisateurs avertis. Mais les personnes les plus vulnérables sont souvent les personnes âgées, paniquées à l’idée de ne plus avoir de mutuelle, ou de voir leur téléphone s’arrêter faute de nettoyage. Quoi qu’il en soit, en prenant les précautions suivantes, vous devriez vous protéger et protéger vos ainés des tentatives d’hameçonnage.
- Ne JAMAIS communiquer une information, personne à qui que ce soit. La banque ou la mutuelle vous enverra un courrier et vous fixera un rendez-vous… En cas de doute, appelez d’abord votre banque ou l’organisme concerné pour vous assurer de la véracité de la demande.
- Installez sur votre ordinateur et smartphone un « vrai » antivirus qui vous protégera des tentatives d’intrusion.
- Sécurisez vos mots de passe avec des lettres minuscules, majuscules, chiffres et caractères comme *, +, -, =… On oublie les mots de passe style AZERTY ou votre date de naissance, de mariage, etc.
- Il est donc crucial de supprimer vos données du plus grand nombre de bases de données possibles.
Et pour limiter encore plus les risques, pensez à supprimer vos données au fur et à mesure de vos utilisations. Il est probable que certaines de vos données figurent déjà dans des bases commerciales revendues à des courtiers.
Quels outils pour limiter les dégâts ?
Lorsque vous souhaitez protéger votre identité en ligne, ce n’est pas une mince affaire. Une fois vos données incluses dans une base revendue à des courtiers, vous multipliez les risques d’hameçonnage et le matraquage publicitaire. Il suffit d’un courtier peu scrupuleux pour qu’un pirate puisse s’emparer d’une liste comportant vos données personnelles, et il est très difficile de faire supprimer ses données sans aide extérieure. Il existe des outils comme Incogni, qui vont, à votre place, contacter les courtiers afin que vos informations personnelles soient supprimées de leurs listes.
C’est peut-être la meilleure manière de vous protéger du phishing, car ces données personnelles, vous les fournissez parfois sans même vous en apercevoir, en jouant à un jeu concours ou en passant commande, par exemple ! Vous pouvez aussi vous cacher derrière un VPN, virtual private network qui va crypter vos données et les empêcher d’être divulguées sur le net. Cette solution est un bon compromis, mais elle ne permettra pas la suppression des données déjà acquises par les courtiers. Prudence !
Je profite de l’offre d’Incogni
Incogni c’est quoi et pourquoi l’utiliser ?
Incogni est un service en ligne, filiale de l’entreprise SurfShark (groupe NordVPN) qui a pour objectif de faire supprimer vos données des listes achetées par des courtiers. L’inscription est payante, 5,79 € par mois au lieu 11,49 € en ce moment, mais le site intervient directement auprès des courtiers en données, pour supprimer vos informations. Le site agit en votre nom, et vous facilite grandement la tâche, car faire supprimer ses données, est quasiment impossible lorsque l’on est un simple internaute. Sur Incogni, l’inscription et l’accès aux fonctionnalités, sont enfantines et se font en quelques clics. En renseignant votre adresse mail, votre nom, votre prénom et votre adresse postale, vous donnez mandat à Incogni pour agir auprès des courtiers. Vous ne fournissez ni numéro de téléphone, ni date de naissance, presque incognito d’ailleurs !
Quant aux données que vous fournissez à Incogni, elles sont conservées un an après l’arrêt de votre abonnement, mais vous pourrez évidemment en demander la suppression. À l’instant même où votre compte est validé, Incogni entre en action et envoie des dizaines de mails à sa base de courtiers en données afin que vous soyez supprimés de ces bases. Les courtiers de leur côté sont tenus via le RGPD de supprimer les informations personnelles demandées par Incogni en votre nom dans un délai de 30 à 45 jours au maximum.
De votre côté, vous n’aurez rien à faire, à part consulter votre compte pour savoir combien de mails ont été envoyés, et surtout combien de courtiers ont répondu aux demandes. En revanche, il n’est pas possible de savoir si les données ont été supprimées et c’est souvent parce que le mail donné à Incogni ne correspond à rien dans la base de données des courtiers (mail ancien, compte créé avec un ancien FAI, etc.)… Pour résumer, Incogni vous permet de gagner du temps, de sécuriser vos données auprès de plus de 130 courtiers en données. De plus, les services du site recherchent constamment les nouveaux courtiers pour qu’ils suppriment aussi vos données. Enfin, pour encore plus de sécurité, Incogni s’assure que vos données restent hors des bases de données des courtiers en effectuant des contrôles réguliers.
Je profite de l’offre d’Incogni
Article Partenaire
Abonnez-vous à notre Newsletter et suivez-nous sur Google Actualité et sur WhatsApp pour ne manquer aucune invention et innovation !