Vous utilisez un navigateur obsolète, qui risque d’engendrer des problèmes techniques ou d’affichage.
OK, FERMER
Le phishing fait partie des escroqueries les plus répandues sur Internet. Chaque jour, des clientes et des clients contactent AXA, parce qu’ils ont été victimes de diverses formes de phishing. C’est le cas de Claudine Berger* de Lausanne: des cybercriminels lui ont extorqué 13 000 francs.
Une table à manger en merisier et un fauteuil à bascule Eames: sur une plate-forme de vente, ils devaient trouver un nouveau propriétaire. Claudine Berger proposait ces deux meubles sur une plate-forme de vente. Quelques jours après sa publication, une personne intéressée a répondu à l’annonce. «La jeune femme s’est fait passer pour une certaine Caroline DaSilva de Versoix. Elle m’a demandé mon numéro de portable et m’a contactée sur WhatsApp. Je ne me suis pas du tout méfiée», raconte la Lausannoise.
Dans le chat, elle a posé quelques questions sur les meubles et le mode de récupération, puis lui a envoyé un lien. Claudine Berger n’a eu aucun soupçon: «La personne était aimable et s’exprimait dans un français correct. Elle m’a écrit que ce lien était un moyen simple et pratique de demander une livraison par Swiss Post. J’ai trouvé cela très sympathique de sa part, car la livraison et les frais étaient à ma charge. Cela m’a fait gagner un temps précieux.»
«Avec le recul, je me demande pourquoi je n’ai rien soupçonné, compte tenu de ce qu’on lit partout sur les nouvelles méthodes de phishing. Mais comme la plupart des gens, je me suis dit: impossible que cela m’arrive à moi.»
La jeune femme a entré ses données de carte de crédit sur le faux site Swiss Post. Et même celles de deux cartes différentes, la première n’ayant prétendument pas fonctionné. «Le site factice était très bien fait. Je n’ai rien remarqué qui aurait pu me mettre la puce à l’oreille. Pourtant, je suis sensibilisée à la cybercriminalité, ne serait-ce que par mon métier d’ingénieure logiciel», souligne-t-elle.
Fait particulièrement traître, pendant toute la durée de la transaction frauduleuse, la Lausannoise a pu poser des questions à un chatbot et a obtenu des réponses plausibles. Ainsi, les cybercriminels ont également pu accéder à distance à son compte PostFinance et prélever de l’argent sur plusieurs comptes. «En définitive, j’ai été escroquée de 13 000 francs, une somme colossale», précise-t-elle. «Au début, j’ai été très choquée. Ce qui m’inquiétait le plus, c’était que mes données continuaient de se promener sur Internet. Je n’ai compris qu’il s’agissait d’une escroquerie que lorsque j’ai dû contacter l’assistance clientèle de ma banque pour un problème technique.»
Il y a près de deux ans, Claudine Berger avait souscrit une assurance Cyber pour particuliers. AXA l’a donc soutenue lors des démarches ultérieures et de la prise de contact avec les banques, prenant finalement en charge l’intégralité du préjudice financier. Comme dans la plupart des cas, les cybercriminels n’ont pas été identifiés.
*Le nom, connu d’AXA, a été modifié à la demande de la cliente.
«Je suis très heureuse qu’AXA ait compensé cette énorme perte financière. Je continue de faire des achats en ligne, mais je suis devenue encore plus prudente. L’échange téléphonique que j’ai eu avec Delia Moore du service clientèle des services de cyberprévention d’AXA m’a aidée et m’a rassurée.»
Madame Moore, à quelle fréquence êtes-vous contactée par des victimes de phishing?
J’entends parler de telles tentatives d’escroquerie presque tous les jours. Le phishing est un thème récurrent. Tantôt il fait miroiter un investissement extrêmement rentable ou une offre d’emploi lucrative, tantôt il incite à modifier de toute urgence ses mots de passe. Dans tous les cas, un clic sur le lien et la saisie de données personnelles entraînent des pertes financières. Facteur aggravant: lorsqu’un comportement négligent peut être reproché à la cliente ou au client, les banques rejettent souvent toute responsabilité. Les méthodes des cybercriminels sont de plus en plus sophistiquées. Je le dis d’expérience: personne n’est à l’abri. Redoubler de vigilance et de prudence est indispensable sur Internet.
Comment avez-vous aidé Madame Berger?
Pour commencer, j’ai vérifié avec la cliente que toutes les cartes bancaires et de crédit concernées étaient bloquées et que les mots de passe de ces comptes et cartes avaient été modifiés. J’insiste aussi toujours pour mettre en place une authentification à deux facteurs.
J’ai aidé Claudine Berger à déclarer aux banques les montants frauduleusement débités, car notre procédure de traitement du sinistre ne peut commencer qu’une fois les banques impliquées. Elle a tout suite compris d’où venait l’erreur, mais je lui ai tout de même donné quelques conseils en matière de prévention.
Au cours d’un deuxième rendez-vous, j’ai configuré avec Madame Berger la surveillance automatique de ses e-mails, de son numéro de téléphone et de sa carte de crédit sur son profil personnel des services de cyberprévention d’AXA. Elle a réalisé au cours de l’entretien que la surveillance automatique de ses données personnelles sur Internet faisait partie intégrante de l’assurance Cyber d’AXA, et s’est ensuite sentie mieux protégée.
Enfin, le fait qu’AXA prenne en charge l’intégralité du dommage financier a constitué pour elle un immense soulagement.
Le phishing (de l’anglais «fishing», qui signifie «pêche»), ou «hameçonnage» en français, est le nom d’un type d’escroquerie perpétré par des cybercriminels. En général, leur but est de mettre la main sur votre argent ou votre identité.
La technique: utiliser des e-mails (phishing traditionnel), des SMS ou des messages WhatsApp, iMessage ou WeChat (smishing) ou encore des appels (vishing) frauduleux pour vous attirer sur des sites Internet falsifiés. Ensuite, tout est fait pour vous inciter à saisir les données de votre carte de crédit dans des formulaires en ligne ou à ouvrir des documents infectés dans votre messagerie.
Le préjudice financier est une chose. Mais la plupart des victimes sont également déstabilisées. Quel soutien moral offrez-vous?
Au cours du premier entretien, de nombreux clients sont encore sous le choc et ne savent pas exactement ce qu’il s’est passé. Il est alors important de bien les écouter afin de déterminer comment les escrocs ont procédé. Le but: clarifier les choses et dégager une compréhension commune du cyberincident. Nos services d’assistance prennent ensuite le relais, allant de mesures immédiates comme la modification d’un mot de passe jusqu’au traitement financier du sinistre. Dans les cas particulièrement difficiles, nous faisons intervenir dans les 12 heures une aide psychologique professionnelle.
Comment les mesures de cyberprévention protègent-elles en cas de phishing ou de smishing?
En cas de réception d’e-mails ou de SMS de phishing, les clientes et les clients d’AXA peuvent soit s’adresser directement à notre service clientèle, soit vérifier eux-mêmes la fiabilité de la correspondance suspecte sur leur plate-forme de cyberprévention personnelle. Nous envoyons en outre régulièrement des messages d’avertissement sur les dernières escroqueries. Notre objectif est que notre clientèle soit parée à toutes les attaques sur Internet.
Avez-vous déjà été vous-même victime de phishing?
Heureusement non, mais cela aurait très bien pu m’arriver. En effet, ce n’est que depuis que je travaille aux services de cyberprévention d’AXA que j’ai pris partout les mesures de sécurité indispensables. Je tenais à me glisser moi-même dans la peau d’une cliente exemplaire. Le conseil est alors plus authentique et plus convaincant. Concrètement, cela signifie que j’ai défini partout des mots de passe uniques et compliqués ainsi que l’authentification à deux facteurs.
Dans la masse d’e-mails et de messages instantanés, il n’est pas toujours simple d’y voir clair. Pour repérer les attaques de phishing, prudence et bon sens sont de mise.
À quoi faut-il faire attention?
Par le passé, les e-mails de phishing contenaient souvent de nombreuses fautes de grammaire et d’orthographe. Cela s’expliquait par le fait que les messages étaient généralement traduits en français par des logiciels de traduction de piètre qualité. Toutefois, ces outils – notamment DeepL – sont bien plus performants aujourd’hui et ne font plus beaucoup d’erreurs dans les phrases simples.
Pour parvenir à leurs fins, les cybercriminels ont souvent recours à des techniques psychologiques regroupées sous le terme d’ingénierie sociale. Ils se présentent comme faisant autorité et vous contactent au nom d’une entreprise connue ou vous mettent sous pression en mentionnant des délais courts ou des offres limitées dans le temps. L’objectif est toujours le même: amener la victime potentielle à faire ou à révéler quelque chose qui lui nuira par la suite.
N’ouvrez jamais un fichier joint à un e-mail dont vous ne connaissez pas l’expéditeur. Il pourrait contenir un cheval de Troie susceptible d’infecter votre système.
La prudence est également de mise lorsqu’une amie ou un collègue vous demande votre numéro de téléphone dans un chat ou envoie un lien sans commentaire. Un logiciel malveillant peut s’y dissimuler.
Avant de saisir vos données de connexion sur un site Internet, vérifiez si l’URL de ce dernier est bien cryptée. Si c’est le cas, la mention «https», et non «http», figure au début de l’adresse. Le symbole du cadenas dans la ligne d’adresse du navigateur indique également que la connexion est cryptée et donc sécurisée. N’ouvrez jamais l’écran de saisie des données de connexion via un lien dans un e-mail, mais passez toujours directement par le site Internet du prestataire.
Les banques et les commerces en ligne n’enverront en principe jamais d’e-mails pour vous demander d’actualiser vos données personnelles. Si vous avez reçu un tel message, nous vous recommandons vivement de vous rendre sur le site Internet du fournisseur (entrez vous-même l’adresse dans le navigateur) et de vous connecter à partir de là. En cas de doute, vous pouvez placer le pointeur de la souris sur le lien dans l’e-mail: vous verrez alors vers où il conduit réellement. N’oubliez pas non plus de vérifier si l’adresse Web a été correctement orthographiée (p. ex. «payppal.com» au lieu de «paypal.com»).
Avant de transmettre vos données de carte de crédit à un site Internet, vous devez avoir la certitude absolue que celui-ci est digne de confiance. Si des pages vous promettent des cadeaux ou de l’argent, faites preuve de prudence et d’esprit critique.
Il est conseillé de changer ses mots de passe tous les 30 à 45 jours. Lorsque des mots de passe restent valables pendant une durée indéterminée, les cybercriminels ont un accès illimité aux comptes compromis.
Pour en savoir plus, lisez notre article de blog «Nos conseils pour un mot de passe sûr».
L’authentification à deux facteurs gagne en importance. Pour la banque en ligne notamment, elle fait en sorte qu’un paiement ne puisse être débloqué qu’après une deuxième autorisation. L’authentification à deux facteurs est une méthode de vérification de l’identité: pour accéder à un site Internet, à une application ou à un réseau, il faut choisir une deuxième méthode d’authentification, en plus de la saisie du mot de passe.
Heike Gross est Content Manager. Elle mène ses activités dans le domaine de cybersecurité, du logement, de la mobilité et bien d’autres sujets intéressants.
