De nos jours, il existe de nombreuses façons de se faire piéger ou arnaquer, notamment avec la furtivité des attaques de phishing. La plupart d’entre nous connaissent probablement le phishing par e-mail, mais les appels vocaux, les SMS et les réseaux sociaux sont désormais des cibles privilégiées. Pire encore, les attaquants sont de plus en plus technophiles, utilisant l’usurpation d’identité, les composeurs automatiques ou même se faisant passer pour une personne de confiance. Il est donc judicieux de savoir les repérer. L’objectif est au moins de reconnaître les signes précocement afin d’éviter de divulguer nos informations personnelles ou de nous faire arnaquer en transférant de l’argent ou en donnant accès à nos comptes par erreur.
Dans cette optique, ce guide présente quelques types courants d’escroqueries par hameçonnage spécifiques aux appareils mobiles, leur fonctionnement et les mesures pratiques à prendre pour réduire les risques. Il ne s’agit pas d’une solution miracle, mais nous espérons que cela vous donnera suffisamment d’indications pour repérer les signaux d’alarme avant que la situation ne dégénère. Et oui, parfois, c’est juste une intuition : si quelque chose vous semble anormal, c’est probablement le cas.
Comment repérer et se défendre contre le phishing sur votre téléphone
Ce que vous devez savoir sur le vishing (hameçonnage vocal)
Le vishing est un terme sophistiqué pour désigner ces appels frauduleux où l’attaquant se fait passer pour votre banque ou une entité de confiance. Il peut usurper l’identité de l’appelant, faire passer le numéro pour un numéro légitime et même utiliser des composeurs automatiques. Généralement, il essaie de vous inciter à partager des informations privées ou à transférer de l’argent. L’essentiel est que les entreprises légitimes ne vous demanderont *jamais* de données sensibles par téléphone. Si vous recevez un appel vous demandant votre code PIN, votre mot de passe ou vos coordonnées bancaires, raccrochez. Dans certaines situations, ces appels peuvent paraître très convaincants (identité de l’appelant usurpée, faux titres), tandis que dans d’autres, ils peuvent paraître un peu douteux, mais restent professionnels. Soyez toujours vigilant.
La meilleure pratique consiste à raccrocher et à rappeler en utilisant les numéros officiels figurant sur le site web de votre banque ou au dos de votre carte. Il est conseillé de rechercher le numéro sur Google au préalable, juste pour s’assurer qu’il est légitime. Parfois, il suffit de demander des informations à l’appelant puis de raccrocher pour déjouer les plans des escrocs, car ils comptent sur des réponses rapides.
Comment se protéger contre les SMS malveillants (Smishing)
L’hameçonnage par SMS, ou « smishing », consiste en des SMS alléchants proposant des cadeaux, des prix ou des alertes urgentes concernant votre compte. Les escrocs adorent attirer leurs victimes avec ce type de message, car il est facile de se faire surprendre. Ils incluent souvent des liens apparemment normaux, mais qui mènent à de faux sites web conçus pour voler des informations de connexion ou installer des logiciels malveillants.
Pour plus de sécurité, ne cliquez sur aucun lien qui vous incite à agir rapidement, aussi tentant soit-il. S’il provient de votre banque ou de PayPal, vérifiez directement sur leur application ou leur site web officiel plutôt que sur le lien dans le message. Vous pouvez parfois vérifier la destination du lien en appuyant longuement dessus (sur Android) ou en maintenant le lien enfoncé (sur iPhone), ce qui affiche l’URL réelle. Si le lien vous semble suspect ou ne correspond pas à l’expéditeur supposé, supprimez-le. Mieux vaut être prudent.
Verrouillez votre numéro de téléphone et votre carte SIM pour éviter l’usurpation de numéro et les échanges de carte SIM
Ce problème est plus complexe, mais il représente une réelle préoccupation croissante. Les pirates peuvent voler votre numéro de téléphone grâce à l’échange de carte SIM, ce qui signifie qu’ils incitent votre opérateur à transférer votre numéro vers une nouvelle carte SIM qu’ils contrôlent. Une fois en possession de votre numéro, ils peuvent intercepter vos codes 2FA, réinitialiser vos mots de passe ou même accéder à vos comptes bancaires si vous utilisez votre téléphone pour la vérification.
Pour éviter cela, configurez un code PIN ou une mesure de sécurité supplémentaire auprès de votre opérateur, afin d’empêcher toute modification de votre compte sans votre mot de passe. Soyez également vigilant si votre téléphone ne peut soudainement plus envoyer de SMS ni passer d’appels, surtout après avoir reçu un appel ou un message étrange. Contactez votre opérateur au plus vite si cela se produit. Il est préférable de verrouiller votre compte proactivement plutôt que de gérer une usurpation d’identité plus tard.
Arnaques sur les réseaux sociaux : ne faites pas confiance à tous vos amis ou abonnés
Le phishing sur les réseaux sociaux est une pratique assez sauvage. Les attaquants se font passer pour des amis, des célébrités ou même votre supérieur et tentent de vous inciter à partager des informations, à cliquer sur des liens malveillants ou même à télécharger des logiciels malveillants. Ils peuvent envoyer un message apparemment normal, mais en réalité, il s’agit d’un piège. L’astuce est de rester sceptique, même si le message semble légitime. Ne partagez jamais d’informations sensibles sur les réseaux sociaux sans en être absolument certain.
En cas de doute, vérifiez par message ou rappelez par un autre moyen, surtout si la demande est inhabituelle ou urgente. Veillez également à la confidentialité : moins d’informations sont visibles publiquement, moins la surface d’attaque est importante. Soyez également prudent lorsque vous cliquez sur des liens : survolez-les si possible pour voir où ils mènent avant de cliquer.
Au-delà de la technologie, rester vigilant et prudent reste votre meilleur bouclier. Parfois, il suffit de prendre du recul et de se demander : « Une entreprise sérieuse me demanderait-elle vraiment ça ? »