5 Min

La sécurité de la banque à distance

Phishing, Smshing, Quishing : les reconnaître pour les éviter

Le phishing ou hameçonnage est une technique utilisée par des escrocs pour récupérer des informations personnelles et autres données sensibles. Comment déjouer les arnaques et les mails frauduleux ?

C'est quoi un phishing ou hameçonnage ?

Le phishing est une tentative de fraude qui repose sur une usurpation d'identité. Les escrocs se font souvent passer pour des banques, des organismes publics ou de grandes enseignes bien connues, rendant leurs messages plus concrets et crédibles, et leurs tentatives d’arnaques plus efficaces.

En général, ce type d'envoi massif de mails vise plusieurs milliers d'adresses de messagerie. Les cybercriminels sont sans scrupules et ne distinguent pas :  toute personne peut ainsi être ciblée, plus ou moins riche. La technique est bien rôdée pour récupérer un maximum de victimes dans leur filet.

Vous recevez un message, par exemple un courrier électronique, qui vous invite à vous connecter à un site de banque, un compte de paiement en ligne ou encore un site commercial.

A chaque fois, le lien proposé dans ce mail frauduleux vous conduit en réalité à un site pirate, corrompu, un faux site créé par des escrocs, une copie quasi parfaite d'un site très connu. 

Une fois que vous êtes sur ce site, vous pensez y être en sécurité, on va vous demander d'indiquer des informations personnelles et / ou bancaires. L'objectif des escrocs est bien de  récupérer vos données sensibles : numéro client, code confidentiel... et ensuite de pouvoir (les regrouper si besoin pour) les utiliser à vos dépens. Au final, l'objectif est bien de vous voler de l'argent.

Que veut dire "phishing", "smishing", "vishing", "quishing" ?

⚠️🎣📧 Le terme "phishing" est la contraction des mots anglais "fishing" qui signifie "pêche" et "phreaking" qui veut dire "piratage de lignes téléphoniques". On parle aussi de "hameçonnage".

💬 La même technique est aussi utilisée via des SMS, appelée alors "smshing".

📞 Quand il s'agit d'un appel vocal, on le nomme "vishing

🔲 Enfin, les fraudeurs ont adapté leurs méthodes en utilisant désormais les QR codes comme moyen d'attaque. c'est le "quishing". Cette variante du phishing émerge alors que le public devient de plus en plus vigilant face aux e-mails et SMS suspects. 

Quels sont les indices qui permettent d'identifier un mail de phishing ?

🕵️ Un certain nombre d'indices ou de signaux doivent vous alerter. Vous pouvez regarder l'objet du message, l'action demandée, le ton employé et bien sûr le prétendu expéditeur.

Un courrier électronique peut sembler provenir par exemple de votre banque, d'un site commercial bien connu, d'un site de paiement… Les prétextes sont nombreux.

Par exemple, le mail de phishing peut avoir pour objet :

  • "alerte sécurité"
  • "confidentiel"
  • "nous avons remarqué un problème sur votre compte"
  • "votre compte a été restreint"
  • "votre carte bancaire est suspendue",
  • "activité inhabituelle sur votre compte",
  • "message important de votre conseiller",
  • "remboursement en votre faveur",
  • "annulation de commande",
  • "appel aux dons",
  • "appel à l'aide", 
  • etc.

On vous demandera le plus souvent une action spécifique et rapide,dans votre intérêt. Il s'agira par exemple, de :

  • mettre à jour ou confirmer vos données,
  • changer votre code,
  • régulariser une facture impayée,
  • payer des frais de livraison supplémentaire pour récupérer votre colis,
  •  

Les escrocs sont habiles et jouent sur l’affect et les sentiments humains, utilisant toute une palette d'émotions. Ces manœuvres frauduleuses reposent en effet sur la manipulation psychologique et utilisent l’envie de gagner de l’argent, la peur de perdre un droit ou de l'argent, la fierté d'aider les autres ou le besoin d’être solidaire… Le plus souvent, le mail de phishing est ainsi alarmant, demande une action urgente... 

Enfin, vous pouvez aussi vous méfier si visiblement, la forme et le contenu apparaissent peu professionnels : adresse expéditeur fantaisiste, fautes d'orthographes, expressions ou formulations étranges, images et logos flous faisant penser à des captures d'écran... Vous pouvez enfin passer votre souris sur les liens présents, bien sûr SANS cliquer. L'url réelle de destination apparaît alors.

Quels sont les sociétés et organismes les plus concernés ?

Les sociétés et les organismes publics les plus connus sont aussi ceux dont l'identité est la plus  usurpée.

Soyez donc particulièrement vigilants si le message provient de la Direction générale des impôts, le Trésor public, la Caisse d'allocations familiales (CAF), la caisse d'assurance maladie, de la Sécurité sociale (Ameli), France Travail, Caisses de retraite (Agirc-Arcco), la Mairie, votre banque, votre mutuelle et aussi les fournisseurs d’énergie, les opérateurs télécoms, les sites de commerce en ligne, les sociétés de livraison et les systèmes de paiement en ligne.

Régulièrement, les campagnes de phishing :

  • usurpent l’identité de l’Agence nationale de traitement automatisé des infractions (ANTAI) et/ou du service de paiement en ligne des amendes amendes.gouv.fr pour réclamer le paiement d’une contravention,
  • visent les impôts pour proposer un remboursement de trop perçu...

Les sociétés et prestataires informatiques ou de messagerie ne sont pas en reste : réseaux sociaux, services de messagerie et stockage en ligne (Cloud)... 

En 2024, le nombre d’attaques visant à dérober les mots de passe des utilisateurs ont atteint un record particulièrement concernant les comptes Google, Facebook et Amazon. Microsoft, Apple, Google et LinkedIn, concentreraient à eux seuls 67 % de toutes les tentatives de phishing dans le monde. Méfiez-vous des messages de sécurité, y compris par exemple sur Teams.

Depuis 2023, on observe une forte hausse de SMS frauduleux "Coucou maman/papa…" utilisant WhatsApp. Cette forme d'hameçonnage (phishing) vise à tromper les parents pour leur soutirer de l'argent en usurpant l'identité de l'enfant.

Où se renseigner sur les dernières fraudes ?

📢 Les banques investissent régulièrement dans leur système de sécurité et communiquent largement pour éduquer le public aux réflexes sécurité et aux bonnes pratiques face aux arnaques. Sur leur site, des alertes sécurité vous informent en temps réel des tentatives de fraude type relevées dans le secteur bancaire, comme par exemple les appels de faux conseillers bancaires (spoofing). Consultez régulièrement leur rubrique sécurité.

Les sites officiels Cybermalveillance, de la CNIL et de l'ANSSI publient aussi des alertes, des fiches pratiques et des exemples de fraudes actuelles. 

📱 Pour vérifier les rumeurs, fausses alertes et scams viraux, vous pouvez faire une recherche sur hoaxbuster et suivre les hashtags comme #cyberfraude, #arnaque ou #phishing sur les réseaux sociaux et les forums.

Quelles sont les types d'attaques cyber récentes ?

La tendance 2025 confirme la recrudescence des fraudes utilisant le deep fake et le vishing c'est-à-dire la voix. L'utilisation de l'Intelligence artificielle( IA) facilite en effet ces nouveaux formats qui renforcent la crédibilité des mails de phishing.

Fin novembre 2024, la plateforme Cybermalveillance alerte aussi d'une arnaque par mail et appels téléphoniques, usurpant son identité. Des escrocs prétextent que vous êtes victime d'une arnaque pour vous proposer un remboursement. Or, la plateforme ne contacte jamais spontanément les victimes de cyberattaques pour leur proposer des indemnisations.

Qu'est-ce que le quishing ?

Les QR-codes frauduleux se multiplient récemment. Les QR codes, ou Flash codes, sont des matrices graphiques qui redirigent vers un site web lorsqu'ils sont scannés avec une application ou directement depuis l'appareil photo.

Leur utilisation s'étend, que ce soit sur des publications, des affiches publicitaires, des billets de spectacles ou d'événements, au restaurant, sur des colis, des avis de passage, sur des bornes de recharge électrique ou de parcmètre, ou même dans des e-mails. 

Pour ne pas tomber dans le piège d'un quishing, quelques réflexes simples :

  • évitez de scanner un QR Code mal imprimé, avec des bords irréguliers,
  • idem s'il figure sur une étiquette, de surcroît mal collée, et s'il n'est donc pas intégré directement au support,
  • privilégiez l'usage d'une application de scan : la plupart contient un logiciel de sécurité,
  • mettez à jour régulièrement votre smartphone et ses applications de sécurité,
  • inspectez l'aperçu de l'url du QR code puis analysez la page de destination,
  • méfiez-vous d'un QR code qui renvoie vers un formulaire : vous ne devez pas laisser de données sensibles, personnelles ou financières.

A noter : le phishing par code QR et par messagerie vocale ont représenté environ 20 % de toutes les attaques de phishing détectées en 2024.

Que faire en cas de phishing ?

Un certain nombre de bons réflexes sont utiles en cas de phishing.

Avant toute chose, gardez votre calme, ne vous précipitez pas. Analysez la situation et prenez conseil autour de vous.

Vous pouvez contacter le prétendu expéditeur à ses coordonnées habituelles pour vérifier sa démarche. Et surtout signalez la tentative aux services publics concernés : 17Cyber, gendarmerie, les plateformes Pharos et 33 700.

Et si j'ai cliqué sur une lien de phishing ?

Si vous avez cliqué sur un lien, saisi votre numéro client, votre code confidentiel ou vos données de carte bancaires ? Ou vous avez procédé à un paiement  ?

  • Contactez au plus vite votre banque.
  • Surveillez votre compte et contestez tout débit frauduleux.
  • Faites opposition carte immédiatement via son numéro spécial ou le service interbancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24).
  • Conservez tout élément utiles pour signaler les faits et déposez plainte.  

En complément de l'article "Phishing, Smshing, Quishing : les reconnaître pour les éviter" :

Voir aussi

Voir aussi

Clés mag
Abonnez-vous ici pour retrouver toutes les actus et nouveautés des clés de la banque :
Vidéos, mini-guides, etc.

Je m'inscris à la newsletter

Pour être informé régulièrement des actualités du site

* Champ Obligatoire

Veuillez sélectionner un abonnement

Je m'abonne à :

Merci pour votre inscription à la newsletter

L'utilisation du formulaire nécessite des cookies de Google reCaptcha

J'accepte

0 document sélectionné

Partager cet article

L'utilisation du formulaire nécessite des cookies de Google reCaptcha

J'accepte