Phishing (hameçonnage)

Emails, SMS (smishing), appels (vishing), QR codes (QRishing), faux formulaires, “fatigue MFA”…

En bref

But : vous faire divulguer des identifiants/CB ou vous pousser à payer (frais, amende, colis, impôts…).
Canaux : email, SMS, appel, QR code, formulaires imitant un service connu.
Thèmes fréquents : faux colis, faux support Microsoft/banque, fausse sécurité, remboursement, faux job, renouvellement d’abonnement, “vérifiez votre compte”.

Signaux qui doivent alerter

Urgence / menace (“compte bloqué”, “poursuites”, “dernier rappel”).
Demande de code / mot de passe / 2FA par email/SMS/appel (un legit ne demande pas ça).
Lien suspect : domaine étrange, fautes, sous-domaines (ex. securite-amazon.com.client-verify.ru).
Pièce jointe inattendue (ZIP/EXE, facture non attendue).
Numéro d’expéditeur masqué ou usurpé, voix pressante.
QR code collé sur un appareil/affiche qui redirige vers un paiement.

Que faire si vous avez cliqué / répondu / payé

1) Identifiants saisis

Changez le mot de passe immédiatement (et partout où il est réutilisé).
Activez la 2FA (application d’authentification) si possible.
Vérifiez sessions actives / appareils et déconnectez les inconnus.

2) Carte bancaire saisie ou paiement effectué

Opposition auprès de votre banque tout de suite.
Contestez les débits (utilisez notre modèle “Contestation CB”).
Collectez les preuves (email/SMS, URL, captures).

3) Ordinateur / mobile compromis

Déconnectez le réseau, sauvegardez l’essentiel.
Lancez un antivirus à jour, supprimez les applications louches.
Si nécessaire, réinitialisation et restauration d’une sauvegarde saine.

Déposez un signalement et, si perte d’argent, une plainte. Voir liens plus bas.

Comment les éviter (bonnes pratiques)

Ne cliquez pas sur un lien reçu : allez sur le site/app par vos favoris.
Vérifiez le domaine (ex. impots.gouv.fr vs. impots-gouv-support.com).
Jamais de code 2FA/mot de passe communiqué par email/SMS/appel.
Bloquez l’expéditeur/SMS et signalez (33700 pour SMS).
Activez la 2FA sur email/banque/boutiques.
Mettez à jour OS, navigateur, antivirus.
Méfiez-vous des QR codes posés en public.

Checklist express (avant de payer/entrer un code)

Adresse du site = officielle ? (pas d’extra type “-security”, “-verify”).
On me demande un code reçu par SMS ? → Stop.
Y a-t-il une alternative officielle (application, espace client) ?
Le message pousse à la peur / urgence ? → méfiance.

Exemples concrets

Exemple d’email de phishing

Objet: Votre compte sera suspendu
De: Sécurité 

Cher client, des activités suspectes ont été détectées. Vérifiez votre compte sous 24h:
👉 https://secure-amazon-check.com/verify

Indices : domaine non officiel, urgence, lien externe.

Exemple de SMS (smishing)

[Colis] Frais de dédouanement 1,79€: https://poste-france.fr/track/123

Indice : faux domaine “poste-france.fr”. Un opérateur postal français n’emploie pas ce domaine.

Signaler / Vérifier selon votre pays

Choisissez votre pays pour signaler un phishing (email/SMS/appel), alerter la consommation et vérifier une entreprise locale.

Raccourcis utiles

Contestation de paiement CB (modèle PDF)
Plainte simple (modèle)
Arnaques colis / transporteur
Faux support Microsoft
Virements frauduleux
Plateformes (Vinted, LBC…)

Si perte d’argent : opposition bancaire immédiate + dépôt de plainte. Conservez les preuves.