Information Sécurité

Le phishing

1. Qu’est-ce qu’un phishing ?

Les tentatives de Phishing, aussi appelées « hameçonnage » ou « filoutage », consistent à tenter de vous soutirer vos mots de passe via l’envoi d’email frauduleux.
Vous recevez un email vous invitant à saisir vos données bancaires ou encore vos identifiants et codes d'accès sur un site imitant celui de votre banque, afin de les réutiliser à votre insu.
Une fois ces données saisies, vous pouvez être redirigé vers le véritable site, vous indiquant simplement que votre mot de passe est erroné. Vous pouvez alors ne jamais vous rendre compte que vous étiez auparavant sur un site frauduleux. Ce type de piratage se pratique aussi avec des emails et sites imitant ceux de tiers de confiance, comme une administration ou une boutique en ligne reconnue.
 

2. Comment détecter une tentative de phishing ?

L’expéditeur
L'émetteur du phishing se fait généralement passer pour un acteur bancaire connu : la plupart des emails frauduleux ont pour expéditeur BNP Paribas, BNPPARIBAS.NET, etc… Il s’agit d’une usurpation d’identité.

L’objet
L'objet de l'email frauduleux est souvent alarmiste sur la gestion de vos comptes ou votre carte bancaire, pour vous inciter à réagir rapidement. En voici quelques exemples :

  • "Rappel : Votre compte sera limité"
  • "Nouvelle sûreté contre l'escroquerie"
  • "Nous avons détecté des transactions inhabituelles sur vos comptes"
  • "Nous avons détecté différents ordinateurs connectés à votre compte"

 

3. Le contenu et l’aspect du message

La plupart du temps, les tentatives de phishing contiennent un message inquiétant et vous proposent de corriger le problème en remplissant un formulaire sur Internet.
Pour vous assurer qu'un formulaire émane véritablement de BNP Paribas Epargne & Retraite Entreprises, assurez-vous que l'adresse affichée dans la barre de navigation commence bien par https, avec le « S » pour « sécurisé ». (https://personeo.epargne-retraite-entreprises.bnpparibas.com)


Voir un exemple de phishing
>>> Cliquez sur ces visuels afin de les voir en taille réelle.


 
 

Pensez-y !

Les tentatives de phishing sont souvent envoyées depuis l’étranger, et rédigées dans un français approximatif, avec de nombreuses fautes d’orthographe. Néanmoins, la couleur, le logo, la typographie imitent ceux de votre banque : soyez donc vigilants !

Retenez bien que BNP Paribas Epargne & Retraite Entreprises n'envoie jamais d'email concernant vos comptes ou vos moyens de paiement sur votre boîte mail personnelle.

Vos identifiant et mot de passe pour accéder à ces comptes vous sont systématiquement envoyés par voie postale et/ou adresse email, et ne vous seront demandés que sur nos espaces web privés (Personeo, Visiogo, Directeo, Erelio).


 

Le Pharming

Le pharming est une technique qui vise à détourner l’accès à un site Internet vers un site pirate, via l’installation à votre insu d’un virus de type « Cheval de Troie » sur votre ordinateur. L’adresse URL saisie est correcte, mais vous êtes redirigé vers un faux site : le pirate a alors accès à vos informations confidentielles (identifiant, mot de passe, etc…).
Différentes versions de ce virus circulent actuellement sur Internet et ne touchent que les internautes utilisant Microsoft Internet Explorer®. Ce virus est reconnu par les principaux éditeurs d'antivirus (Norton Symantec®, Avast®, McAfee®...). Aussi, pour vous prémunir contre d'éventuelles attaques, BNP Paribas Epargne & Retraite Entreprises vous recommande de mettre à jour vos antivirus.

Les bons réflexes anti "pharming"

Avant d’entrer votre identifiant et votre code, vérifiez toujours que vous êtes sur le bon site et que la connexion est sécurisée.
Deux éléments en début d’adresse web vous permettent de vous en assurer : le code «httpS://»  (https://personeo.epargne-retraite-entreprises.bnpparibas.com), ou la barre verte indiquant "Sécurisé" avec le cadenas vert.

  • Installez un anti-virus sur votre ordinateur et pensez à faire des mises à jour régulières.
  • Mettez à jour régulièrement votre navigateur, votre système, vos logiciels et applications.
  • Choisissez un fournisseur d'accès Internet reconnu. Une sécurité maximale au niveau de votre fournisseur est votre première défense contre le "pharming".
  • Ne cliquez jamais directement sur un lien dans un message électronique ou une page web. "Copier/coller" ce lien dans une nouvelle fenêtre de navigation ou utilisez vos favoris.
  • Evitez l’ouverture des pièces jointes d’expéditeurs inconnus.

 

Le malware

C’est un logiciel hostile qui s’installe sur votre ordinateur. Il permet à son concepteur d’en prendre le contrôle à distance et d’effectuer à votre insu des opérations malveillantes.

1. Comment agit-il ?

  • Il s’interface entre l’utilisateur de l’ordinateur et le serveur bancaire en modifiant le contenu des pages web affichées dans le navigateur. Il propose une fausse grille d’identification et récupère ainsi le mot de passe de l’utilisateur.
  • Il invite l’utilisateur à communiquer le code qu’il reçoit par SMS (code envoyé suite à l’ajout du bénéficiaire saisi par les fraudeurs).

 

2. Reconnaître l’attaque d’un malware

Pour rappel, le code d'activation est uniquement envoyé par SMS suite à votre propre initiative de demande d'ajout d'un bénéficiaire. Si vous recevez un code d'activation sans avoir effectué de démarche au préalable, c'est sans doute un malware. Il est vivement conseillé de changer immédiatement de code secret en utilisant un ordinateur différent et de vérifier la liste de vos bénéficiaires. N'oubliez pas de nettoyer ensuite le poste infecté avec un antivirus et de signaler le cas à notre plateforme téléphonique.

 

3. Se protéger des malwares

La meilleure protection reste l’installation d’un anti-virus, des scans réguliers de votre ordinateur, et la mise à jour régulière de votre système et vos logiciels.
L’usage d’un anti-malware est aussi conseillé, certains anti-virus faisant l’impasse sur ces derniers, il existe aussi des systèmes de scan en ligne.

 

Le vishing

Les internautes étant de plus en plus avertis du phénomène de phishing, les cyberfraudeurs ont développé une nouvelle technique : le vishing, aussi appelé hameçonnage vocal.

1. Comment cela fonctionne-t-il ?

Le vishing utilise la technologie VoIP (voix sur IP) dans le but d’amener quelqu’un à divulguer des informations personnelles et / ou financières. Les fraudeurs emploient deux méthodes différentes.

Première méthode

Les victimes potentielles sont appelées au hasard par un automate téléphonique dans une région géographique déterminée. Lorsque vous décrochez, un message pré-enregistré supposé provenir de votre banque vous prévient que des opérations inhabituelles ont été réalisées sur votre compte bancaire. Vous êtes ensuite invités à appeler un numéro de téléphone, souvent surtaxé, pour vérifier la situation de votre compte. Ce numéro correspond à une boîte vocale, qui vous demande alors de fournir vos identifiants bancaires, ou les seize chiffres et la date de validité de votre carte bancaire. Les pirates disposent alors des informations suffisantes pour effectuer des achats frauduleux sur Internet.

Seconde méthode

Une personne vous appelle en se faisant passer pour quelqu’un du département de sécurité Visa, MasterCard ou votre établissement bancaire. Elle vous signale que votre carte bancaire a été utilisée pour un achat douteux et vous demande si vous êtes à l’origine de l’opération. Face à votre réponse négative, cette personne attribue un numéro de fraude, donnant ainsi à l’appel un aspect réaliste. Elle vous demande ensuite de lui communiquer les coordonnées de votre carte bancaire pour vérifier qu’elle est toujours en votre possession. Une fois ces informations transmises, la personne vous invite à la rappeler si vous avez d’autres questions et raccroche.


2. Comment s'en protéger ?

Les fraudeurs utilisent la vulnérabilité psychologique du consommateur en créant un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. Si vous recevez un message vous demandant de rappeler un numéro, ne le composez pas. Cherchez le numéro qui vous a été donné par l’émetteur de votre compte et utilisez-le.

Gardez aussi à l’esprit qu’aucune banque ne vous demande par email, fax ou téléphone ce genre de renseignements. En cas de doute, contactez votre banque dans les plus brefs délais. Si vous avez réussi à déjouer une tentative de fraude de ce type, il convient aussi de prévenir votre établissement bancaire.

Ne pas oublier !

Nous vous invitons à être vigilant et à nous faire part de tout soupçon par téléphone, email ou courrier.
Pour cela, retrouvez toutes nos coordonnées dans le pied de page du site > rubrique "Aide et contact" > Contact.

 

Foire Aux Questions

55;56;57

  • Partager cette page !

  • Partagez cette page avec votre réseau
  • Lisez et partagez cette page plus tard avec Buffer
  • L'appli pratique pour lire cette page à tout moment, même en offline !

  • Outils

  • Envoyez cette page par mail
  • Etes vous sûr de vouloir imprimer ?

Mots CLÉS :

 

Votre avis nous intéresse

Avez-vous trouvé ce contenu intéressant ?

Oui Non