Phishing : présentation

Le phishing ou hameçonnage, contraction de fish (poisson) et de phreaking (piratage des systèmes de téléphonie) est une technique frauduleuse diffusée essentiellement par mail mais également par téléphone et SMS. Elle est utilisée par des tiers malveillants dans le but de recueillir des informations confidentielles.

Ce type de fraude vise Orange, mais aussi les autres opérateurs de l’internet ainsi que les institutions (banques, administrations et services publics etc…). De manière générale, vous ne devez jamais communiquer vos coordonnées bancaires,  ni remplir de formulaires directement après avoir cliqué sur un lien présent dans un mail suspect. Par mail ou par SMS, Orange ne vous contactera jamais pour vous demander un mot de passe ou un numéro de carte bancaire. Par téléphone, Orange ne vous contactera jamais dans le seul but d'obtenir ces informations.

visuel phishing

Vous recevez un message reproduisant la typographie et le logo officiels de votre fournisseur d'accès, de votre banque etc … Ce message prétendument légitime vous indique, par exemple, que vos coordonnées doivent être mises à jour, ont été perdues ou qu’une erreur de prélèvement s’est produite et vous invite à cliquer sur un lien afin de les ressaisir ou de vous identifier.

De manière générale, certains éléments peuvent vous permettre de reconnaître un mail de phishing : fautes d’orthographe et de ponctuation, absence d'accent, mélange de mots anglais et français, erreurs de mise en forme, ton péremptoire… La formulation de ces messages comporte souvent des menaces sous-jacentes (« votre compte sera intégralement effacé »), des promesses (« pour obtenir un remboursement de X euros ») ou encore des garanties (« nous prenons très au sérieux la vie privée de nos clients… ») auxquelles il convient de ne pas donner crédit.

Ces mails comportent un lien cliquable (lien hypertexte) dont la première lecture peut paraître crédible, mais qui, en réalité, redirige vers un site frauduleux dont  l’adresse est visible par un survol de ce lien avec la souris (sans cliquer).

Quelques  précautions simples à prendre, afin de protéger au mieux vos informations confidentielles :

  • Ne répondez jamais à un mail qui vous semble douteux.
  • Ne cliquez jamais sur les liens contenus dans un mail douteux.
  • Evitez d’ouvrir les pièces jointes aux mails douteux.
  • Ne renseignez jamais les formulaires demandant vos informations bancaires.
  • Vérifiez que l'adresse d'un site web sécurisé commence bien par "https://" même si ce n'est pas une condition suffisante pour garantir la légitimité d'un site.
  • Utilisez un antivirus à jour ainsi qu'un firewall.
  • Maintenez à jour votre système d’exploitation et votre navigateur internet et appliquez les correctifs de sécurité.
  • Modifiez régulièrement votre mot de passe d’identification au site orange.fr.

De manière générale, ne communiquez jamais par mail les informations suivantes :

  • Numéro de carte bancaire.
  • Numéro de passeport ou de carte nationale d'identité.
  • Photocopie de pièce d’identité.
  • Identifiants et mots de passe.

attention :  Orange ne vous demandera jamais ce genre d’informations par courrier électronique. En outre, ne vous laissez pas convaincre ou intimider par les menaces sous-jacentes des messages (« votre compte sera intégralement effacé »), les promesses (« pour obtenir un remboursement de X euros ») ou encore les garanties (« nous prenons très au sérieux la vie privée de nos clients… »). Elles ne sont là que pour vous pousser à baisser votre garde.

Sélectionnez le mail et cliquez sur le bouton "Transférer" de votre logiciel de messagerie en indiquant l’adresse «abuse@orange.fr » comme destinataire .

Il est à noter que cette adresse «abuse@orange.fr » refuse tous les formats de pièces jointes, images et captures d’écran .

Vous pouvez compléter votre démarche en signalant le mail comme indésirable à partir du webmail Orange et ajouter son expéditeur à la liste rouge.

Signalez à notre cellule Abuse les messages de phishing portant atteinte à la marque Orange ou à des sites institutionnels (impôts, sécurité sociale …).

La cellule abuse vérifiera s’il s’agit d’un nouveau phishing qu’elle n’aurait pas déjà traité et le cas échéant, entreprendra les démarches nécessaires auprès de l’opérateur et /ou hébergeur.

Pour les phishing visant d’autres entreprises ou fournisseurs d’accès internet  (banques, assurances. etc...) contactez les cellules abuse de ces sociétés qui sont les seuls habilitées à engager des poursuites.