Que faire en cas de phishing ?

tentative phishing

Le phishing ou hameçonnage en français, est une tentative d’arnaque par e-mail, SMS ou par téléphone pour tenter de soutirer des informations confidentielles (mots de passe, coordonnées bancaires). Les fraudeurs ont même été jusqu’à distribuer de faux avis de passage en boîte aux lettres ! Pour vous aider à vous en protéger, suivez les conseils de La Poste.

Comment fonctionne une attaque de phishing?

Jean reçoit un mail sur sa messagerie personnelle une facture provenant de sa banque. Dans ce mail, on lui explique que les frais liés à son abonnement n’ont pas pu être prélevés le mois dernier. Il est donc nécessaire de régler rapidement la facture via un lien qui est référencé dans le mail, afin que l’abonnement ne soit pas résilié. Lorsque Jean clique sur le lien, il est renvoyé vers un site qui lui semble être sûr. Il donne ses coordonnées bancaires via le site afin de régler les frais demandés par sa banque. N’ayant aucun retour de sa banque, il décide donc de les contacter. Son conseiller bancaire lui explique qu’il vient de se faire arnaquer. Jean vient d’être victime de phishing.

Qu’est-ce que le phishing ?

Le phishing est une forme d’escroquerie qui se déroule principalement sur Internet. Cela consiste à récupérer vos données personnelles ou bancaires (mots de passe, coordonnées bancaires, numéro de carte d’identité ou encore date de naissance) via un email frauduleux. Pour ce faire, les fraudeurs se font passer pour une entreprise de confiance (banque, impôts, CAF ou encore La Poste). En vous trompant de la sorte, ils cherchent à vous soutirer de précieuses informations personnelles afin de les utiliser de manière malveillante (pour faire des achats, par exemple). Certains réunissent même à pirater des sociétés et à modifier leurs coordonnées bancaires. Les paiements sont alors directement versés sur leur compte et non plus sur celui de l’entreprise. A savoir : cette pratique illégale peut également être réalisée par SMS - on appelle alors ça du smishing ou par téléphone, on appelle cela du phishing.

Les thèmes les plus courants de mails de phishing sont :

- la livraison de colis ;
- la sécurité sociale ;
- les impôts ;
- la fausse facture ;
- le faux remboursement ;
- le compte bloqué ;
- les comptes bancaires ;
- PayPal.

Les tentatives de phishing liées à la Poste

La Poste, comme bon nombre de tiers de confiance, voit régulièrement son image détournée par des tentatives de phishing liées à son nom. En effet, depuis la crise sanitaire et l’essor du e-commerce, de plus en plus de personnes passent des commandes sur Internet et se font donc livrer leurs colis directement à la maison. Il n’en faut pas plus pour que certaines personnes mal intentionnées mettent en place une arnaque aux sms en invitant les destinataires à régler des frais de port ou des frais de douane pour pouvoir réceptionner un colis ou à participer à des jeux.
Ces dernières années, les fraudeurs ont même été jusqu’à distribuer de faux avis de passage en boite aux lettres !
Dans tous les cas, les fraudeurs vous invitent à cliquer sur un lien ou un QRcode afin de récupérer vos coordonnées bancaires. Et ce n’est pas pour vous voler quelques euros… Prudence donc !


Exemple de faux avis de passage :

Comment reconnaître le phishing ?

Une tentative de phishing n’est pas si difficile à reconnaître. Nous l’avons déjà évoqué, il peut s’agir d’un e-mail ou d’un sms frauduleux vous invitant à un jeu-concours payant, une tombola ou à retirer un colis en payant. Gardez une chose en tête, si cela semble trop beau pour être vrai, c’est souvent un cas de phishing…

Plusieurs choses peuvent également vous mettre la puce à l’oreille comme :

- une orthographe et/ou une grammaire qui laisse à désirer ;
- une URL ou un lien douteux ;
- l’adresse de l’expéditeur que vous ne connaissez pas.

Dans le cas de La Poste, on ne vous demandera jamais de nous rappeler sur un numéro surtaxé, ni de nous communiquer vos coordonnées bancaires ou votre code secret par téléphone ou par e-mail et encore moins de payer un supplément pour réceptionner un colis.


Attention toutefois : si vous avez commandé en dehors de l’Union européenne ou que votre colis est à destination ou en provenance d’un département d’Outre-mer, vous aurez des droits et taxes de douanes. Vous recevrez alors un mail envoyé par La Poste-Colissimo <noreply@notif-colissimo-laposte.info> ou par <notif-laposte.info@laposte.fr>. Le lien contenu dans cet e-mail vous permettra de payer, à partir du 30 juin, en toute sécurité sur le site officiel de La Poste.

Vous avez un doute ? Votre numéro d’envoi vous permet de suivre vos colis dans notre outil de suivi et de vérifier si votre colis existe bel et bien mais aussi, si vous devez vous acquitter de droits et taxes de douane.

Que faire si vous avez été victime de phishing ?

Contre la cybermalveillance, La Poste surveille sur Internet et les réseaux sociaux. Ainsi, elle bloque une dizaine de sites malveillants par semaine.

Vous pensez avoir détecté un message suspect ? Si vous êtes victime d’hameçonnage, La Poste vous donne quelques règles pour vous en prémunir.

Tout d’abord, comment signaler un acte de phishing ? En cas de doute, n’hésitez pas à signaler le message reçu :

- signalez les mails sur le site signal-spam;
- signalez les sites d’hameçonnage sur le site https://phishing-initiative.fr;
- signalez les spams vocaux ou SMS au 33700 (SMS gratuit).


Signaler le mail de phishing à La Poste via l’adresse mail : phishing@laposte.fr ou par téléphone (3631 pour les particuliers, 3634 pour les professionnels).

Pour en savoir plus, n’hésitez pas à retrouver l’aide en ligne.

- Dans le cas où vous auriez donné vos coordonnées bancaires, faites opposition et gardez les preuves.
- Portez plainte auprès de la gendarmerie ou au commissariat de votre secteur ou directement sur le portail Pharos.
- Changez les mots de passe de vos services numériques sensibles (sites bancaires, messagerie, etc.). Utilisez des mots de passe forts et toujours différents.

Comment vous protéger des mails de phishing ?

Que ce soit une offre frauduleuse ou un faux avertissement, ne cliquez surtout pas sur les liens et n’ouvrez pas les pièces jointes. En effet, un fichier peut contenir un logiciel malveillant… De même, ne répondez pas à ces incitations.

Mais ce n’est pas tout… Ne communiquez jamais des informations sensibles par messagerie, téléphone ou e-mail. Faites également attention à ne pas utiliser votre carte banque sur n’importe quel site. En cas de doute, vérifiez l’URL du site au moment de l’achat. Il doit être sécurisé, c’est-à-dire qu’un « s » doit figurer après le « http » dans la barre d’adresse du site. Vous n’êtes toujours pas sûr ? La garantie de votre sécurité est symbolisée par un petit cadenas fermé, en haut de la fenêtre de paiement.

Les règles à suivre :

- En cas de doute, contactez toujours l’organisme en question afin de vérifier l’identité et la légitimité de la demande.
- Ne cliquez jamais sur les liens ou les pièces jointes provenant d’adresses mails inconnues.
- Lorsque le service numérique le propose, activez la double authentification pour sécuriser l’accès à vos services numériques.
- Installez un antivirus.
- Utilisez des mots de passe différents et complexes pour chaque site et application.
- Rendez-vous sur la plateforme nationale www.cybermalveillance.gouv.fr pour la signaler et retrouver d’autres précieux conseils.