Phishing, Smshing, Quishing : les reconnaître pour les éviter

Le phishing est une technique de piratage destinée à récupérer des informations personnelles. Les banques investissent régulièrement dans leur système de sécurité et communiquent largement pour éduquer le public aux réflexes sécurité et aux bonnes pratiques. Sur leur site, des alertes sécurité vous informent en temps réel des tentatives de fraude. Consultez régulièrement leur rubrique sécurité.

Que veut dire "phishing" ?

Le terme "phishing" est la contraction des mots anglais "fishing" qui signifie "pêche" et "phreaking" qui veut dire "piratage de lignes téléphoniques". On parle aussi de "hameçonnage". La tentative de fraude repose généralement sur une usurpation d'identité.

Elle utilise notamment le courrier électronique en vous invitant, souvent "pour des raisons de sécurité", à vous connecter à un site de banque, un compte de paiement en ligne ou encore un site commercial. Le lien vous conduit en réalité vers un site pirate corrompu. Cette même technique est aussi utilisée via des SMS, appelée alors Smshing.

Comment reconnaître une tentative de phishing ?

Un courrier électronique vous invite par exemple à vous connecter à un site de banque, un site commercial ou un site de paiement…

Le prétexte peut varier : on vous demande, "pour des raisons de sécurité", de mettre à jour vos données ou de changer votre code ou encore de régulariser une facture impayée… Les escrocs se font souvent passer pour des banques, des organismes publics ou de grandes enseignes bien connues, rendant leurs messages plus concrets et crédibles, et leurs tentatives d’arnaques plus efficaces. A chaque fois, le lien proposé vous conduit à un site pirate, copie quasi parfaite de l'original, pour récupérer vos informations personnelles et notamment bancaires (numéro client, code confidentiel...).

Par exemple, le message peut avoir pour objet :

• "confidentiel"
• "nous avons remarqué un problème sur votre compte"
• "votre compte a été restreint"
• "votre carte bancaire est suspendue", etc.

Le plus souvent, le message est alarmant, demande une action urgente... Les manœuvres frauduleuses reposent ainsi sur la manipulation psychologique, sur l’affect et les sentiments humains, comme l’envie de gagner de l’argent, de ne pas perdre un droit, d’être solidaire et aider les autres…

Alerte aux attaques cyber récentes

La tendance 2025 confirme la recrudescence des fraudes utilisant le deep fake et le vishing c'est-à-dire la voix. L'utilisation de l'IA facilite en effet ces nouveaux formats qui renforcent la crédibilité des messages.

Fin novembre 2024, la plateforme Cybermalveillance alerte aussi d'une arnaque usurpant son identité. Attention si vous recevez un message de Cybermalveillance. Des escrocs prétextent que vous êtes victime d'une arnaque pour vous proposer un remboursement. La fraude utilise à la fois les emails et les appels par téléphone. Notez que la plateforme ne contacte jamais spontanément les victimes de cyberattaques pour leur proposer des indemnisations.

En 2024, le nombre d’attaques visant à dérober les mots de passe des utilisateurs ont atteint un record particulièrement concernant les comptes Google, Facebook et Amazon. 26 millions de tentatives auraient été enregistrées pour accéder à des sites internet frauduleux se faisant passer pour ces marques populaires. Les géants de la tech, Microsoft, Apple, Google et LinkedIn, concentreraient à eux seuls 67 % de toutes les tentatives de phishing dans le monde. Méfiez-vous des messages de sécurité, y compris par exemple sur Teams.

Début 2024, une campagne de phishing a ciblé les utilisateurs de la SNCF. Elle proposait frauduleusement des réductions substantielles sur la carte Avantages. Les attaquants utilisaient des e-mails et des SMS contrefaits pour inciter les victimes à fournir des informations bancaires sensibles.

En 2023, on a commencé à observer une forte hausse de SMS frauduleux "Coucou maman/papa…" utilisant WhatsApp. Les fraudeurs se font passer pour les enfants des destinataires, prétendant avoir des problèmes avec leur téléphone et incitant leurs parents à discuter via un nouveau numéro inconnu sur WhatsApp. Cette forme d'hameçonnage (phishing) vise à tromper les parents pour leur soutirer de l'argent en usurpant l'identité de l'enfant.

Une autre vague importante de messages frauduleux en 2023 usurpait l’identité de l’Agence nationale de traitement automatisé des infractions (ANTAI) et/ou du service de paiement en ligne des amendes amendes.gouv.fr pour réclamer le paiement d’une contravention.

Aussi, si vous recevez un tel message, n'y répondez pas ! Transférez-le immédiatement à Pharos ou au 33 700, la plateforme spécialisée dans le signalement d'arnaques.

Comment réagir face au phishing ?

• Ne répondez jamais à ce type de message.
• Si la source est inconnue ou douteuse, ne cliquez pas sur le lien dans le mail ou sms. N'appelez pas le numéro, n'engagez pas la discussion et ne scannez pas le QR code.
• Ne procédez à aucun paiement et n’envoyez jamais d’argent avant d’avoir formellement identifié votre interlocuteur. 
• Prévenez votre banque au plus vite, aux coordonnées habituelles, en lui faisant suivre ce message.
• Assurez-vous lors des sessions Internet de la présence du code https:// devant l'adresse (url) du site, icône d'une clé ou d'un cadenas dans le bas de l'écran.
• Tapez vous-même l'adresse exacte du site, à la lettre près et attention aux fautes de frappe.
• Faites aussi attention aux messages vous incitant à appeler un numéro : prenez le temps de vérifier le numéro de téléphone.
• Vous pouvez signaler les tentatives d'escroquerie sur la plateforme du service public via le 17Cyber
• Signalez le message frauduleux sur la plateforme 33 700 ou par SMS au 33 700 (service gratuit).
• Vous pouvez consulter les alertes de sécurité, de phishing, etc. sur le site de votre banque mais aussi sur d'autres sites ciblés comme par exemple le site de la Caisse d'Allocations Familiales, des impôts, etc.

Qu'est-ce que le quishing ?

Cette variante du phishing émerge alors que le public devient de plus en plus vigilant face aux e-mails et SMS suspects. Les fraudeurs ont adapté leurs méthodes en utilisant désormais les QR codes comme moyen d'attaque. Les QR codes, ou Flash codes, sont des matrices graphiques qui redirigent vers un site lorsqu'ils sont scannés avec une application ou directement depuis l'appareil photo.

Leur utilisation s'étend, que ce soit sur des publications, des affiches publicitaires, des billets de spectacles ou d'événements, au restaurant, sur des colis, des avis de passage, sur des bornes de recharge électrique ou de parcmètre, ou même dans des e-mails. Les QR-codes frauduleux pourraient aussi se multiplier notamment à l 'occasion des JO.

Pour ne pas tomber dans le piège d'un quishing, quelques réflexes simples :

• évitez de scanner un QR Code mal imprimé, avec des bords irréguliers,
• idem s'il figure sur une étiquette, de surcroît mal collée, et s'il n'est donc pas intégré directement au support,
• privilégiez l'usage d'une application de scan : la plupart contient un logiciel de sécurité,
• mettez à jour régulièrement votre smartphone et ses applications de sécurité,
• inspectez l'aperçu de l'url du QR code puis analysez la page de destination,
• méfiez-vous d'un QR code qui renvoie vers un formulaire : vous ne devez pas laisser de données sensibles, personnelles ou financières.

A noter : le phishing par code QR et par messagerie vocale représente actuellement environ 20 % de toutes les attaques de phishing détectées en 2024.

Et si je suis victime ?

Si toutefois, vous avez cliqué sur un lien et saisi par exemple votre numéro client, votre code confidentiel, ou si vous avez fourni vos données de carte bancaires ou procédé à un paiement :

• contactez au plus vite le service relations clients ou votre conseiller bancaire pour faire réinitialiser vos codes de banque à distance,
• idem pour tenter de suspendre le virement si celui-ci n’est pas encore effectué, sinon demandez le retour des fonds. Votre banque pourra exiger une copie de votre dépôt de plainte pour instruire votre demande,
• surveillez votre compte,
• en cas de débit frauduleux, contestez immédiatement l'opération auprès de votre banque,
• faites opposition carte immédiatement auprès de votre banque via son numéro spécial ou le service interbancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24).

Conservez les messages reçus (SMS…) et toute autre information qui pourront vous servir pour signaler les faits. Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou par écrit au procureur de la République du tribunal judiciaire.

En complément de l'article "Phishing, Smshing, Quishing : les reconnaître pour les éviter" :

• Plateforme service public
• Site signal spam
• Actualités sur les fraudes - site cybermalveillance

Voir les actions

• 86

  Aimer cet article
• Enregistrer cet article
• Partager cet article

2 Min

Mon compte

Accéder à ma banque à distance

Voir les actions

• 73

  Aimer cet article
• Enregistrer cet article
• Partager cet article

5 Min

Guides bancaires

Fraudes aux opérations bancaires : prévention, réactions, remboursement

Comment réagir ? Dans quels cas puis-je être remboursé ? Après quelques informations et recommandations générales, ce guide propose un panorama des principaux types de fraudes, (...)

Voir les actions

• 58

  Aimer cet article
• Enregistrer cet article
• Partager cet article

3 Min

Guides bancaires

Banque à distance - 10 réflexes sécurité

En tant que client de la banque, votre rôle est essentiel dans l’utilisation sécurisée des services de banque à distance. Comme avec vos papiers d’identité ou vos clés, vous (...)

Voir plus sur la gauche Voir plus sur la droite