Le mail (rédigé en langue anglaise ou française) usurpe l'identité d'une entreprise (banque, site de commerce électronique, etc.) et invite les internautes à se connecter en ligne par le biais d'un lien hypertexte. Il leurs est demandé de mettre à jour des informations les concernant sur un site Web factice, copie conforme du site original, en prétextant par exemple une mise à jour du service, une intervention du support technique, etc.

Dans la mesure où les adresses électroniques sont collectées au hasard sur Internet, le message a généralement peu de chance d’aboutir puisque l'internaute n'est peut être pas client de la banque dont semble provenir le courriel. Mais sur la quantité des messages envoyés, il arrive que le destinataire soit effectivement client de cet organisme.

Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots de passe des internautes, leurs données personnelles ou bancaires (numéro de client, numéro de compte en banque, etc.).

Grâce à ces données les pirates sont capables de transférer directement l'argent sur un autre compte.

Comment se protéger du phishing ?

• ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'adresse URL d'accès au service.
• méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Dans le doute, contactez directement votre agence par téléphone.
• assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affiché dans la barre d'état au bas de votre navigateur.

Source : SIRPA Gendarmerie