Arnaque par email : les 7 techniques de phishing les plus fréquentes

Fausse commande, contravention, colis en cours d’acheminement : découvrez 7 techniques d’hameçonnage par mail fréquemment utilisées par les escrocs.

Étienne Caillebotte
Publié le
Vector concept of phishing scam, hacker attack and web security
Les cybercriminels peuvent, par exemple, usurper l'identité d'un organisme gouvernemental ou d'une enseigne pour duper leurs victimes. © Feodora - stock.adobe.com
Sommaire

Le phishing, ou hameçonnage en français, est une pratique qui consiste à usurper l’identité d’une entité légitime ou d’un tiers de confiance afin de soutirer des données confidentielles aux victimes. Elle représente l’une des formes d’escroqueries les plus communes en ligne : « le phishing reste la forme de cybercrime la plus répandue et affiche la croissance la plus rapide des malversations numériques », confirmait Cloudflare, en août dernier, après avoir étudié un échantillon de 279 millions de menaces véhiculées par email. Et bien que la plupart des méthodes utilisées par les cybercriminels aient été largement documentées, de nouvelles stratégies émergent chaque année.

Ainsi, dans le cadre d’une stratégie préventive, le Gouvernement recense, sur sa plateforme cybermalveillance.gouv, les méthodes les plus fréquemment utilisées par les escrocs lors de campagnes de phishing. Voici 7 exemples de stratégies qui doivent être automatiquement associées à une tentative d’hameçonnage.

Découvrez les meilleurs outils anti-spam pour se protéger contre le phishing

Protect by Mailinblack
Anti-spam
Begone
Anti-spam
CallApp
Anti-spam
SPAMfighter
Anti-spam
Voir tous les outils Anti-spam

1. L’escroquerie à la fausse commande

Largement médiatisée, la méthode consiste à persuader l’utilisateur qu’une commande a été effectuée en son nom, mais qu’il est encore possible de l’annuler. L’idée est d’amener « la victime à penser qu’une personne a usurpé son identité pour effectuer une commande à son propre compte, que son espace personnel sur le site de vente a été piraté ou encore qu’elle est victime d’une fraude à la carte bancaire », selon cybermalveillance.gouv.

Le mode opératoire est le suivant : après avoir trompé le destinataire en usurpant l’identité d’une enseigne de vente en ligne, d’un service de paiement ou d’un opérateur téléphonique, l’escroc redirige la victime vers un site frauduleux. De là, il l’invite à annuler sa commande en renseignant ses informations personnelles (identité, adresse postale, numéro de téléphone, etc) et ses coordonnées bancaires.

2. L’hameçonnage aux couleurs des impôts

Cette technique d’hameçonnage, qui cible principalement les particuliers mais également les entreprises, consiste à usurper l’identité de l’administration fiscale dans le but d’encourager la victime à divulguer ses informations personnelles. En règle générale, l’email frauduleux informe la victime qu’elle peut bénéficier d’un remboursement, lui demande de communiquer des informations pour compléter un dossier, ou l’invite à régler un impayé. Par la suite, elle est invitée à fournir ses données fiscales, bancaires ou personnelles pour régler le litige. Pour crédibiliser l’objet de l’email, les escrocs « exploitent parfois des thèmes d’actualité », rappelle cybermalveillance.gouv.

3. Les escroqueries à la livraison de colis

Plus fréquemment observée lors des fêtes de fin d’année, du Black Friday ou des périodes de soldes, cette méthode d’hameçonnage consiste à usurper l’identité d’une entreprise de livraison, d’annoncer qu’un colis est en cours d’acheminement, puis d’inviter la victime à régler des frais supplémentaires pour qu’il arrive à destination. « Le faible montant réclamé, à hauteur de quelques euros, évoque par exemple une absence d’affranchissement, des frais de port ou d’expédition restant dus, le paiement de taxes comme la TVA, de frais de douane ou de dédouanement », complète cybermalveillance.gouv.

Là encore, la victime est redirigée vers un site trompeur, où elle sera sommée de régler le montant demandé, puis d’éventuellement renseigner ses informations personnelles dans un formulaire.

4. L’hameçonnage à la contravention

Le mode opératoire ressemble à celui de l’hameçonnage aux couleurs des impôts :  l’escroc emprunte l’identité de l’ANTAI, l’Agence nationale de traitement automatisé des infractions ou, à défaut, du service amendes.gouv puis exige le règlement d’une contravention. Pour convaincre le destinataire d’effectuer les démarches qui s’imposent, l’email frauduleux rappelle, en détail, les risques et pénalités encourus en cas de non-paiement. « Les victimes qui donnent suite se voient redirigées vers un site frauduleux d’apparence officielle où leur sera demandé leurs informations personnelles et de carte bancaire », explique la plateforme du Gouvernement.

5. Le phishing bancaire

En dépit des nombreuses campagnes de prévention, la méthode du phishing bancaire est encore largement répandue. Le principe ? Un message frauduleux incite le destinataire à procéder à une mise à jour de ses informations personnelles, activer une couche supplémentaire de sécurité ou authentifier un nouvel appareil, sous peine de risquer un blocage. Sur une réplique du site de la banque, il sera invité à communiquer ses informations bancaires, confirmer son numéro de téléphone ou ses identifiants. « Une fois l’hameçonnage terminé, la victime est généralement redirigée vers le véritable site Internet de sa banque, ce qui peut la laisser croire qu’il y a eu un dysfonctionnement ou une déconnexion imprévue », détaille le site du gouvernement.

6. L’hameçonnage à la vignette Crit’Air

Ce nouveau procédé de phishing « apparu à l’automne 2022 », comme le rappelle cybermalveillance.gouv, capitalise sur une thématique d’actualité : l’obligation de disposer d’une vignette Crit’Air sur son véhicule pour circuler dans certaines agglomérations. Comme pour le hameçonnage à la contravention, l’email redirige vers une page copiant visuellement le site dédié, puis demande à la victime de communiquer ses données personnelles et bancaires pour effectuer la commande de vignette.

7. L’escroquerie à la loterie

En se faisant passer pour une société qui organise des loteries, telle que la Française des Jeux, l’usurpateur aspire à siphonner les données personnelles de ses victimes. Le procédé est le suivant : l’escroc informe, par email, la destinataire qu’il a remporté une somme importante, puis l’invite à partager ses informations personnelles à un prétendu notaire, avocat ou huissier de justice pour récupérer ses gains. « Le corps du message est le plus souvent court, voire très succinct, et demande de se référer aux différentes pièces jointes pour prendre connaissance de l’objet du message reçu », rappelle cybermalveillance.gouv.

À lire également
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Visuel enquête Visuel enquête

Community managers : découvrez les résultats de notre enquête 2025

Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !

Je m'inscris

Les meilleurs outils pour les professionnels du web

Protect by Mailinblack

Anti-spam
Un outil pour bloquer les malwares, spams et phishings

Norton Small Business

Antivirus
Un antivirus pour les petites entreprises

Surfshark VPN

VPN
Un VPN sécurisé pour tous vos appareils
BDM / Articles / Web / Arnaque par email : les 7 techniques de phishing les plus fréquentes

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

5 questions pour comprendre le Cyber Resilience Act
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées