Qu’est-ce que le phishing et comment signaler une fraude en ligne ? Apprenez à vous protéger contre les arnaques sur internet et la cybercriminalité.

Le numérique évolue à une vitesse effrénée. Il n’en est que plus difficile de reconnaître à temps les tentatives de cybercriminalité ou de fraude sur internet. C’est pourquoi Orange mise pleinement sur votre cyberserenity en vous donnant des conseils pour profiter pleinement de la vie en ligne.

Cybercriminalité en Belgique : les chiffres

Vous pensez à une série télévisée à suspense en entendant le mot cybercrime ? De nombreux chiffres révèlent pourtant que de plus en plus de Belges sont eux aussi victimes de fraude sur internet. En 2022, la Police fédérale a enregistré 58.410 cas de cybercriminalité en Belgique, soit 20 % de plus que l’année précédente.

Le phishing (ou hameçonnage) reste une forme classique d’arnaque sur internet, même si les chiffres montrent que l’internaute moyen devient plus vigilant. Alors que 34 millions d’euros avaient été subtilisés en 2020, le compteur n’affichait “que” 25 millions en 2021. Dans le meilleur des cas, les victimes ne perdent que peu ou pas d’argent, mais cela peut atteindre quelques dizaines de milliers d’euros dans le pire des cas. 

Vous pensez que cela ne risque pas de vous arriver ? Faites le test !

Qu’est-ce que la cybercriminalité ?

Il s’agit en fait de toute forme de criminalité digitale. Ne pensez pas que cela peut uniquement se produire via un site web ou un ordinateur. Ce malentendu a malheureusement la vie dure... Votre smartphone, votre carte bancaire, votre système domotique ou même votre voiture intelligente peuvent également être la cible de cybercriminels.

Lors d’une arnaque sur internet, les criminels dérobent toutes sortes de données personnelles : identifiants, numéro de permis de conduire, codes PIN, mots de passe de vos comptes en ligne... Grâce à ces informations sensibles, les voleurs peuvent retirer de l’argent de votre compte en banque, bloquer vos comptes sur les réseaux sociaux, acheter des produits chers sur Amazon avec votre carte de crédit, etc.

Pour éviter tout cela, installez un bon antivirus sur votre ordinateur et veillez à scanner régulièrement votre ordinateur.

Vous soupçonnez que votre compte a été piraté, que des achats suspects sont effectués avec votre carte de crédit ou que quelqu’un se fait passer pour vous ? Agissez sans attendre !

1. Il s’agit d'une fraude à la carte bancaire ? Bloquez-la immédiatement via CardStop.
2. Votre ordinateur (de travail) est en cause ? Déconnectez-le d’internet. Attention : n’éteignez pas l’ordinateur pour éviter d’effacer d’éventuelles traces.
3. Déposez plainte dans un bureau de police près de chez vous.
4. Signalez l'arnaque via cert.be et/ou envoyez le mail frauduleux reçu à suspect@safeonweb.be.

Envie de savoir comment éviter le vol d’identité ? Jetez un coup d’œil à notre site web pour des astuces pratiques !

Oui, donnez-moi des conseils !

Comment éviter la cybercriminalité ? 

Mais comment éviter une cyberattaque ? Un bon pare-feu ou logiciel antivirus vous sera déjà d’une aide précieuse. Gardez aussi à l’esprit que les cybercriminels redoublent d’ingéniosité.

C’est pourquoi nous avons dressé pour vous l’Orange Cybercrime Watchlist (OCW) : une énumération pratique des principales formes de cybercriminalité. Et comme les criminels digitaux ne cessent de développer de nouvelles techniques, nous mettrons régulièrement cette liste à jour. Gardez un œil sur cette page !

Prêt ? Voici les 17 formes les plus courantes de cyberfraude :

1. Phishing
2. Pop-up fishing
3. Angler phishing
4. Spear phishing
5. Holiday phishing
6. Quishing
7. Defacing
8. Network snooping
9. Juice jacking
10. Brandjacking
11. Formjacking
12. Clickjacking
13. Keylogger
14. Salami slicing
15. Whaling
16. Credential stuffing
17. Smishing

1. Phishing

Le phishing (ou hameçonnage) est l’une des formes de cybercriminalité les plus connues. Un faux e-mail ou SMS (on parle alors parfois de smishing) vous attire sur un faux site web où on vous demande par exemple d’introduire les données de votre carte bancaire.

En 2020, il y a par exemple eu en Flandre un e-mail de phishing à propos d’une prime spéciale dans le cadre du coronavirus. L’e-mail émanait des autorités flamandes ou de l’administration fédérale. Même si l’e-mail – et le site web correspondant – paraissaient convaincants, il s’agissait d’un fake.

Et ce ne sont pas les exemples de phishing en Belgique qui manquent. Certains clients d’Orange ont aussi reçu un faux SMS leur annonçant qu’ils avaient payé deux fois leur facture. Ils pouvaient demander le remboursement via un (faux) lien.

▶️ Conseil : en cas de doute, vérifiez toujours l’expéditeur de l’e-mail ou du SMS. Ne cliquez jamais sur des liens qui ne vous inspirent pas confiance !

2. Pop-up phishing

Toute personne qui surfe en ligne a déjà vu un pop-up apparaître. Ces petites fenêtres qui s’ouvrent au-dessus du site web visité vous invitent par exemple à vous inscrire à une newsletter ou à activer rapidement un bon de réduction.

Les cybercriminels utilisent eux aussi des pop-ups ! Ils recourent au pop-up phishing pour vous faire cliquer sur l’une de ces petites fenêtres. Comment ? En vous “avertissant” par exemple que votre smartphone ou ordinateur a besoin d’une mise à jour urgente. Ou pour vous “féliciter” d’avoir gagné un prix. Si vous tombez dans le piège, vous risquez d’avoir un virus sur votre GSM ou votre ordinateur … et de vous arracher les cheveux.

3. Angler phishing

Aujourd'hui, nous partageons tout sur les réseaux sociaux, y compris nos mécontentements par rapport à un produit ou une marque. Et cela n’a pas échappé aux hackers. Ils créent un faux compte, se font passer pour un collaborateur de l'entreprise en question et proposent de résoudre le problème. Intéressé(e), vous cliquez sur un simple lien... Et en une seconde, le mal est fait. Les hackers ont accès à vos identifiants de connexion et peuvent, par exemple, passer des commandes ou publier des publicités mensongères en votre nom.

Petite anecdote : le terme ‘angler phishing’ s’inspire du nom anglais d'un poisson prédateur qui attire ses proies  à l’aide d’un tentacule brillant. Bref, il faut ouvrir l'œil et le bon !

▶️ Conseil : ne cliquez jamais sur un lien inconnu.

4. Spear phishing

Avez-vous déjà, un jour, reçu un coup de fil du directeur de votre banque ? Il y a peu de chances que cela arrive... Dans le spear phishing  (ou hameçonnage ciblé), les escrocs se font passer pour une personne haut placée dans une entreprise ou une organisation. Ils appellent ou envoient un e-mail aux victimes potentielles pour leur signaler un problème avec leur ordinateur, leur carte bancaire ou leurs données d’identité. La « solution » ? Simplement leur communiquer vos données personnelles par téléphone ou par mail.

▶️ Conseil : ne transmettez jamais vos identifiants ou codes secrets par téléphone. 

5. Holiday phishing

Apprendre par e-mail ou par SMS que vous avez droit à un pécule de vacances plus élevé ? Cela paraît trop beau pour être vrai… et ça l’est effectivement. En cliquant sur le lien, vous transmettez vos données personnelles à des hackers. Autrement dit : vos vacances tombent à l’eau avant même d’avoir commencé !

▶️ Conseil : votre pécule de vacances ne vous est jamais communiqué par SMS ou par e-mail. Supprimez immédiatement de tels messages.

6. Quishing

Vous voyez un dépliant vantant une réduction incroyable sur des vacances tout compris au soleil. Il suffit de scanner le code QR pour profiter automatiquement de la réduction. Sûr ou trop beau pour être vrai ?

Cela dépend ! Car même un code QR peut vous causer de sérieux ennuis. Les hackers lient par exemple le code QR à un site web contenant un malware (un logiciel malveillant) et avant que vous ne vous en rendiez compte, un virus infecte votre smartphone et vous êtes victime de quishing : l'hameçonnage par code QR.

▶️ Conseil : vérifiez la fiabilité de la source avant de scanner un code QR et utilisez un scanner QR sécurisé.

7. Defacing

Vous avez certainement déjà entendu que tel ou tel site web avait été piraté. Dans ce type d’attaque, les hackers empêchent par exemple l’accès au site web avec un ransomware (un logiciel spécifique) et essaient d’obtenir une rançon pour le rétablir. Ou ils tentent de voler des données sensibles, comme les résultats de test d’un laboratoire médical.

En cas de defacing (défacement, défaçage, barbouillage ou défiguration en français), le contenu des pages web est remplacé par un message ou un contenu activiste qui porte atteinte à l’image de l’entreprise.

▶️ Conseil : votre site a été piraté ? Signalez-le tout de suite via cert.be !

8. Network snooping

Vous êtes à l'aéroport et vous avez une heure devant vous avant le départ de votre avion. Idéal pour consulter rapidement vos e-mails professionnels via le WiFi public ! Mais prenez garde, des hackers sont peut-être à l'affût pour tenter de subtiliser vos données. 

Le snooping est le pendant virtuel des écoutes téléphoniques. En utilisant des hotspots WiFi non sécurisés ou d'autres réseaux publics, les hackers accèdent à votre appareil et lisent ce que vous tapez.

▶️ Conseil : évitez les réseaux publics ou hotspots WiFi non sécurisés. Optez plutôt pour un abonnement mobile avec autant de data que vous le souhaitez !

9. Juice jacking

Que ce soit dans le train, à la gare ou à l'aéroport, les prises USB publiques sont très convoitées pour recharger un ordinateur portable, un smartphone ou une tablette. Malheureusement, il est également possible d'installer des logiciels malveillants sur ces ports USB. En d'autres termes, en recourant au juice jacking – le terme juice renvoyant au jus, à l'énergie – des hackers peuvent geler votre appareil ou y installer un virus.

▶️ Conseil : chargez vos appareils sur des prises de courant classiques et emportez une batterie externe USB pour les recharger en cours de route.

10. Brandjacking

Imaginez que la Loterie Nationale vous appelle personnellement un matin pour vous apprendre que vous avez gagné le gros lot. Ils ont juste besoin des données de votre carte pour transférer ces millions sur votre compte.

Ou que Taylor Swift annonce en direct sur Facebook qu’elle offre 10.000 dollars à 500 heureux fans. Vous n’avez qu’une seule chose à faire : envoyer votre nom d’utilisateur et votre mot de passe sur « son » compte.

Deux excellents exemples de brandjacking : une forme de cybercriminalité dans laquelle les cyber arnaqueurs se font passer pour une entreprise connue, une grande marque ou une célébrité. Et comme nous avons tendance à faire confiance à ces grands noms, le brandjacking arrive malheureusement souvent à ses fins.

▶️ Conseil : ne partagez jamais votre nom d’utilisateur et votre mot de passe avec des inconnus. 

11. Formjacking

Le ‘formjacking’ est une variation du brandjacking. Les pirates s'infiltrent dans le logiciel sous-jacent d'une boutique en ligne, par exemple, pour y installer un logiciel malveillant. L’utilisateur ne soupçonne rien. Mais dès que vous introduisez vos données personnelles et vos informations de paiement, elles sont récupérées par les hackers et revendues au plus offrant ou à d'autres criminels.

▶️ Conseil : installez un ‘bloqueur de script’ sur votre navigateur. Cet add-on bloque les scripts installés par les hackers pour récupérer les données. Il existe plusieurs options : ScriptSafe (Chrome), NoScript (Firefox) et JSBlocker (Safari).

12. Clickjacking

Dans la même optique, il y aussi le clickjacking ! Imaginez que vous surfez sur un site et un pop-up avec une vidéo apparaît. Vous cliquez sur l’image pour la lancer et... il ne se passe rien. En réalité, il s'agit d'une photo derrière laquelle se cache un lien malveillant. Dans le cas du clickjacking, les hackers dissimulent leurs logiciels malveillants en éléments sur lesquels vous avez tendance à cliquer automatiquement : une image ou une vidéo, des CAPTCHA, des infos virales, des mises à jour de logiciel… Ils ne manquent pas d'inventivité !

▶️ Conseil : ici aussi, un bloqueur de script peut s’avérer utile. Veillez également à ce que votre navigateur soit toujours bien à jour !

13. Keylogger

Parmi tous les malwares et logiciels malveillants, les keyloggers (enregistreurs de frappe) sont un véritable cauchemar. Ces programmes enregistrent ce que vous tapez sur votre clavier, comment vous utilisez votre souris et, dans les formes les plus sophistiquées, font même des captures d’écran. Les données sont ensuite envoyées à une tierce partie.

Bien que ces voyeurs virtuels soient de véritables plaies, ils ne sont pas illégaux : les entreprises peuvent par exemple les utiliser pour s’assurer que leur personnel ne fait fuiter aucune information confidentielle.

Mais entre de mauvaises mains, un keylogger peut occasionner de fameux dégâts. Il suffit de penser à tout ce que vous faites via votre ordinateur…

▶️ Conseil : utilisez un antivirus sur votre ordinateur et vérifiez régulièrement qu’il n’y ait pas de programmes suspects.

14. Salami slicing

Vous remarquez soudain qu’il manque 1.200 euros sur votre compte ce mois-ci ou que vous avez dépensé exactement 100 euros de plus par mois pendant un an ? Dans cette attaque appelée salami slicing ou saucissonnage, les arnaqueurs procèdent par petites sommes.

Plutôt que de prélever en une fois un gros montant de votre compte bancaire, ils volent chaque fois des petits montants. Ils comptent sur le fait que ce sera moins visible – ce qui est généralement le cas – et qu’ils pourront voler plus d’argent.

▶️ Conseil : vérifiez toujours vos dépenses. Vous voyez un paiement suspect ? Faites bloquer votre carte et/ou changez le mot de passe de votre fournisseur de paiement en ligne, comme PayPal.

15. Whaling

“Coucou maman, c’est moi ! Je t’envoie ce message via le téléphone d’un ami parce que le mien vient de me lâcher. Peux-tu me prêter 1.000 euros ? C’est super urgent, je te les rembourse plus tard. À tout à l’heure !”

Ça paraît suspect ? Bien vu ! Dans une attaque de whaling (aussi appelée arnaque au président, chasse à la baleine ou chasse aux gros poissons), vous recevez un message d’un numéro inconnu, généralement via WhatsApp. Les escrocs se font passer pour un proche et affirment avoir besoin d’argent de toute urgence. De plus, le smartphone du proche en question vient de le lâcher (ou d’être volé) et il utilise soi-disant le GSM d’un ami. 

Ce type de cybercriminalité est malheureusement de plus en plus fréquent et il inquiète sérieusement les autorités. À lui seul, le Parquet d’Anvers a par exemple enregistré 250 plaintes de whaling en 2020, dans lesquelles les victimes ont été flouées en moyenne de 5.000 euros.

▶️ Conseil : convenez avec votre famille de ne jamais vous demander de l’argent par SMS ou WhatsApp. Vous recevez quand-même ce type de message de votre soi-disant enfant, partenaire ou meilleur ami ?  Il s’agit probablement d’une fraude Whatsapp ! Appelez immédiatement la personne en question - au numéro repris de votre répertoire  - pour vérifier ce qu’il en est.

16. Credential stuffing

Au printemps 2021, Facebook a été victime d’une importante fuite de données : plus d’un demi-milliard d’identifiants ont été publiés sur internet. Mais que font les escrocs de ces données ?

Le credential stuffing (également appelé bourrage d’identifiants) est une possibilité. Les escrocs utilisent votre nom d’utilisateur et votre mot de passe pour se connecter à d’autres sites sensibles. S’ils y parviennent, ils peuvent dérober d’importantes informations personnelles comme vos numéros de cartes, votre numéro de compte et d’autres codes importants.

▶️ Conseil : utilisez toujours un mot de passe unique. Même si l’un de vos comptes est piraté, les dégâts resteront limités.

17. Smishing

Il vous est déjà arrivé de recevoir un SMS d’un numéro inconnu vous annonçant que votre colis bpost était en route et que vous pouviez suivre votre commande via le lien joint ? Même si vous n’aviez rien commandé ? Alerte ! Le smishing est un terme relativement neuf qui fait référence au ‘phishing par SMS’ : les escrocs envoient aux victimes potentielles un message venant soi-disant d’une entreprise fiable.

Comme cela se fait par SMS, de nombreuses personnes se montrent moins vigilantes et cliquent sur le lien. Et c’est exactement ce qu’espèrent les cybercriminels…

▶️ Conseil : vérifiez toujours qui est l’expéditeur. Bpost envoie par exemple uniquement des SMS via le numéro 8152. Vous recevez un SMS venant d’un autre numéro ? Supprimez-le immédiatement ! Et ne partagez jamais de mots de passe ni d’autres informations sensibles. Vous doutez de l’authenticité du message ? Contactez l’expéditeur par e-mail ou via le numéro de téléphone général, mais ne répondez jamais à des numéros suspects.

Protégez-vous contre la cybercriminalité : 5 astuces pratiques

Nous luttons avec vous contre le cybercrime ! En suivant ces quelques conseils pratiques, vous serez plus en sécurité sur votre smartphone, votre tablette et votre ordinateur (portable). Envie d’en savoir plus ? Consultez vite notre page sur la cyberserenity !

1. Utilisez un mot de passe différent pour chaque compte en ligne. Si des hackers piratent votre compte, ils essaieront toujours ce mot de passe sur d’autres comptes. En choisissant le même mot de passe, vous vous rendez encore plus vulnérable.
2. Vérifiez toujours l’expéditeur des e-mails. Ne répondez jamais à des e-mails ou des demandes de contact émanant de personnes ou d’organisations que vous ne reconnaissez pas.
3. Ne répondez jamais à une requête à caractère sexuel. N’envoyez rien de sensible. Votre photo pourrait tomber entre les mains d’un catfish (un escroc qui crée un faux profil dans le but de vous séduire) ou d’une personne malintentionnée …
4. Sensibilisez vos enfants à la sécurité sur leur smartphone. Installez par exemple ensemble une app qui protège l’appareil contre les malwares.
5. Continuez à vous informer autant que possible sur la cybersécurité. Les cybercriminels cherchent sans cesse de nouveaux moyens pour accéder aux données personnelles ou sensibles. Un surfeur informé en vaut deux ! Où faire le plein d’infos ? Commencez par parcourir notre page consacrée à la cyberserenity !

Montrez-moi comment assurer ma sécurité dans le monde digital

Lisez aussi :

▶️ Comment déclarer le sinistre de votre smartphone auprès de l’assureur ? 
▶️ Les applications Orange Belgique essentielles pour votre smartphone
▶️ Que faire si on perd son smartphone ou s'il a été volé ?