Ces derniers jours, les cyberattaques se multiplient et deviennent de plus en plus sophistiquées. Parmi les méthodes les plus courantes, les faux mails usurpant l'identité de l'URSSAF ou du service des impôts représentent une menace sérieuse pour les particuliers et les entreprises. Ces attaques, souvent appelées "phishing", "smushing", "vishing" ou, plus généralement, "hameçonnage", visent à tromper les destinataires pour leur soutirer de l'argent ou des informations sensibles.
Les cybercriminels utilisent diverses techniques pour rendre leurs faux mails crédibles. Ils imitent les logos, les signatures et les mises en page des institutions officielles comme l'URSSAF ou la Direction Générale des Finances Publiques (DGFiP). Ces mails frauduleux prétendent souvent que le destinataire doit régulariser une situation urgente, comme le paiement de cotisations sociales ou d'impôts, sous peine de sanctions sévères.
Un exemple courant est la mise en demeure de paiement des cotisations sociales de l'URSSAF. L'escroc demande au destinataire de réaliser un virement sur un compte bancaire, souvent en fournissant un RIB. De même, des mails usurpant l'identité des services des impôts peuvent accuser le destinataire de fraude fiscale et exiger un paiement immédiat pour éviter des poursuites.
Pour se protéger contre ces cyberattaques, il est essentiel d'adopter des mesures de prévention rigoureuses :
- Vérification des Sources : Toujours vérifier l'authenticité des mails reçus. Les institutions comme l'URSSAF et la DGFiP ne demandent jamais de paiements par mail. En cas de doute, contactez-nous.
- Sensibilisation et Formation : Informer et former vos salariés sur les risques de phishing et les techniques utilisées par les cybercriminels. Une vigilance accrue peut prévenir de nombreuses attaques.
- Utilisation de Logiciels de Sécurité : Installer et maintenir à jour des logiciels de sécurité, comme les antivirus et les pare-feu, pour détecter et bloquer les mails frauduleux.
Signalement des Mails Frauduleux : Signaler immédiatement tout mail suspect aux autorités compétentes et à l'institution concernée. Cela permet de limiter la propagation des attaques et de protéger d'autres potentielles victimes.
Le vishing : un autre variant du phishing basé sur les appels vocaux
Si le phishing s’appuie sur les e-mails et les messages textes pour tromper ses victimes, le vishing repose sur les appels téléphoniques. Appelé aussi hameçonnage vocal, le vishing fait de nombreuses victimes en France à travers l’arnaque du faux conseiller bancaire.
Les internautes sont désormais fortement sensibilisés au phishing. Cette attaque consiste à envoyer des messages textes ou des e-mails contenant des liens ou des pièces jointes. Les deux éléments cachent pourtant des logiciels malveillants. Cependant, ils sont moins prudents face aux attaques de vishing.
Cette forme de cyberattaque fait partie de la grande famille du phishing, smishing, quishing ou encore du spearphishing. À la différence des autres, le vishing se sert des appels vocaux pour tromper ses victimes.
L’appelant peut prendre l’identité d’un technicien informatique, d’un employé de la banque ou encore d’un agent de recouvrement du Trésor public. En France, l’arnaque au faux conseiller bancaire est la plus courante.
Le vishing s’appuie sur l’ingénierie sociale pour mettre en confiance la victime. Son objectif reste le même que pour le phishing : obtenir des informations confidentielles. Une fois ces données dans les mains du fraudeur, il peut vider le compte en banque de sa cible, prendre son identité, etc. Au premier semestre 2023, les arnaques aux moyens de paiement utilisant le vishing s’élèvent à 204 millions d’euros d’après la Banque de France.
Le smishing : une autre dérivée du phishing
Smishing provient de la combinaison entre les termes « SMS » et « phishing ». Cette attaque exploite la confiance humaine plutôt que les prouesses techniques pour atteindre son but.
Le smishing est souvent associé au phishing. Ce dernier s’appuie sur des e-mails frauduleux pour tromper ses victimes. Dans le cas du smishing, le support utilisé est le message texte. Il est donc considéré comme une autre forme de phishing.
Les cybercriminels utilisent cette méthode pour voler des données personnelles qu’ils utilisent ensuite pour commettre d’autres crimes comme le vol d’argent.
Le vol de données s’effectue à travers le téléchargement d’un logiciel malveillant par la victime. Cette dernière clique sur un lien présent dans le message de smishing. Une fois cette action accomplie, le malware est définitivement installé sur le téléphone. Le lien peut également mener à un faux site web imitant à la perfection celui d’une marque légitime. Lorsque la victime s’y rend, le vol d’informations s’opère.
Avec l’utilisation croissante des MMS en 2025, les risques sont accrus. Les images et les éléments graphiques peuvent aussi amener les utilisateurs à dévoiler des informations personnelles. Un menace de plus en plus réelle chaque année.