Le Phishing, le smishing et le vishing

Ces termes sont utilisés pour décrire l’exploitation des failles humaines et sociales d’une organisation pour obtenir d’autrui un service ou des informations clés ou donnant un accès à vos avoirs financiers. Le fraudeur utilise en général son charisme, son culot, il abuse de la confiance, de l’ignorance et de la crédulité des personnes ciblées.

Social engineering par email : le phishing

Le phishing se présente sous la forme d’un email contenant un lien vers un site web frauduleux ayant l’apparence d’un site web légitime. Le but de ces emails phishing est de tenter de se faire passer pour un message légitime envoyé par la banque. Très souvent, les fraudeurs jouent sur l’aspect psychologique de la victime en créant un stress et un faux sentiment d’urgence. Voici deux exemples d’emails de phishing ciblant les clients d’ING Luxembourg disposant d’un accès à My ING et d’une carte de crédit Visa.

Exemple 1

Le véritable expéditeur n’appartient pas au domaine « @ing.lu » mais à un domaine proche du contexte de la banque dont le but est de mettre en confiance le destinataire. Le texte du lien invite à cliquer, et pourtant, en le survolant, on s’aperçoit que celui-ci ne pointe pas vers une page du site https://www.ing.lu mais vers un autre site malveillant.

Exemple 2

L’expéditeur semble appartenir au domaine «@ing.lu », mais en réalité, il n’en est rien. En effet, la manière dont fonctionnent les protocoles emails sur internet n’empêche pas l’usurpation de l’adresse email d’un émetteur donné. Le destinataire de ce type d’email (on parle ici de « email spoofing ») est alors mis en confiance. Le texte dépeint à nouveau une situation d’urgence, invitant la victime à réagir rapidement en appelant un numéro de téléphone qui n’est pas celui d’ING Luxembourg. Alternativement, l’attaquant aurait pu inviter la victime à visiter une fausse page web ING afin qu’elle y saisisse des informations personnelles et confidentielles.

Social engineering par téléphone mobile : le smishing

L'hameçonnage par texto (smishing : SMS + phishing) est une tentative par des escrocs de se procurer des données personnelles, financières ou de sécurité par texto. L'escroc se fait passer pour une source de confiance, par exemple une banque, un émetteur de cartes de paiement ou une entreprise d'utilité publique ou un prestataire de services.

Comment ça marche ?

Le message vous demandera généralement (souvent avec urgence) de cliquer sur un lien vers un site Web ou d'appeler un numéro de téléphone afin de vérifier, mettre à jour ou réactiver votre compte.

Le lien vers le site Web vous mènera à un site fictif qui prétendra être une entreprise légitime. Le but est de vous amener à divulguer toute information pouvant aider les fraudeurs à voler votre argent.

Cette image est un exemple concret de smishing. Le lien et l'adresse de destination sont très souvent le premier élément qui vont vous permettre de détecter la fraude. D'autres indications peuvent également vous aider à repérer l'arnaque.

 Que faire ?

  • Ne cliquez pas sur des liens, annexes ou images que vous recevez dans des textos non sollicités sans en avoir d'abord vérifié l'expéditeur. Vous pouvez rechercher le numéro en ligne (s'il s'agit d'une tentative de fraude, vous serez pas la première personne concernée) ou le comparer avec le numéro officiel du véritable expéditeur.
  • Ne vous pressez pas. Prenez votre temps et procédez aux vérifications nécessaires avant de répondre.
  • Ne répondez jamais à un SMS vous demandant votre code PIN, vos codes pour les services bancaires en ligne ou toute autre donnée de sécurité.
  • Si vous pensiez avoir répondu à un SMS à l'hameçonnage et avoir fourni vos données bancaires, contactez votre banque immédiatement.
 

Social engineering par telephone : le vishing

L'hameçonnage vocal (vishing : voice + phishing) est une tentative de fraude téléphonique dans le cadre de laquelle l'escroc s'efforce d'obtenir de sa victime des données personnelles, financières ou de l'argent.

Les fraudeurs jouent sur l'aspect psychologique pour que la victime se sente stressée et créent un faux sentiment d'alarme. Un exemple fréquent consiste à demander vos informations de connexion My ING pour lever les mesures de sécurité apparentes imposées sur votre compte. Dans d'autres cas, les fraudeurs peuvent prétendre faire partie du service informatique de la banque pour inviter la victime à télécharger et installer un logiciel en apparence légitime, alors qu'il s'agit d'une version malveillante.

Comment pouvons-nous vous aider ?

My ING - Votre banque en ligne

Connectez-vous et réalisez vos opérations où et quand vous le souhaitez.

  • My ING, la banque en ligne pour les particuliers
  • My ING Pro, la banque en ligne pour les professionnels

My Team - Votre Contact Center

Aide sur la banque en ligne, informations sur nos produits, nos services ou toutes autres questions, votre Contact Center est accessible du lundi au vendredi de 08h30 à 18h00.

Contact pour la presse

My Experts - Votre réseau d'agences

Nos conseillers sont à votre disposition pour vous aider.

Nous utilisons des cookies pour améliorer votre expérience. Ces cookies de base sont essentiels au bon fonctionnement de ce site web. Ils enregistrent, par exemple, vos préférences linguistiques. Ils permettent aussi d’analyser de façon anonyme la manière dont le site est utilisé. Plus d'informations dans notre Cookie Policy.

Je refuse J'accepte