Phishing : se protéger des appels, courriels et SMS frauduleux

Le phishing (« hameçonnage » en français) est de plus en plus fréquent. Il est devenu un véritable fléau avec l’augmentation de notre utilisation d'internet et il est aujourd’hui la principale forme de cybercriminalité. L’Assurance Maladie met en garde les assurés contre ces tentatives d’escroquerie par téléphone, courriel et SMS. Comment les repérer ? Et surtout comment s'en protéger ? L'Assurance Maladie vous donne quelques conseils.

Infographie présentant le sujet Tentative d'escroquerie : les 6 règles à suivre (description complète ci-après=

Faire preuve de vigilance à tout âge

Comprendre le phishing pour mieux s’en protéger : définition

Le phishing est une technique frauduleuse, d’apparence légitime, dont le but est de récupérer des données personnelles ou de dérober de l’argent.
Par exemple, vous recevez un message, aux contenus et aux couleurs de l’Assurance Maladie, qui vous demande de transmettre des données personnelles, comme votre numéro de sécurité sociale, vos coordonnées bancaires ou vos identifiants de connexion au compte ameli.

Ces messages frauduleux prennent différentes formes : des mails, des SMS (on parle alors de « smishing ») ou des appels téléphoniques (on parle alors de « vishing »). C’est bien face à ces 3 types de tentatives d’escroquerie que la vigilance s’impose.

Tous mobilisés contre ce fléau

En tant qu’organisme-clé du système de soins français, l’Assurance Maladie veut contribuer à combattre ce phénomène en agissant à 2 niveaux :

  • faire diminuer ces escroqueries en incitant à la vigilance et en encourageant l’adoption de bonnes pratiques ;
  • donner la marche à suivre en cas d’escroquerie.  

Votre vigilance est donc essentielle pour protéger vos données personnelles contre les menaces en ligne. En suivant ces conseils, vous contribuez à renforcer la sécurité de vos données et de celles de tous.

Capture d'écrans montrant des exemples de sms frauduleux - phishing Assurance Maladie

Une personne sur deux a déjà été visée par une tentative d’escroquerie aux données bancaires

Même s’il est difficile à quantifier, le phishing est massif : 51 % des Français âgés de 18 ans et plus déclarent avoir déjà été confrontés à une tentative d’escroquerie aux données bancaires (enquête publiée en 2021 par la Fédération bancaire française). En 2023, la plateforme nationale d’assistance et prévention en sécurité numérique Cybermalveillance.gouv.fr a reçu 280 000 demandes d'assistance, dont 90 % provenant de particuliers.

Reconnaître les techniques de phishing les plus courantes pour mieux s’en protéger

Les messages des phishing changent régulièrement mais leur fonctionnement reste le même : vous recevez une fausse information et vous êtes invité à cliquer sur un lien pour obtenir une indemnité ou pour corriger une situation à votre sujet mais qui n'existe pas.

Les messages des phishing changent régulièrement mais leur fonctionnement reste le même : vous recevez une fausse information et vous êtes invité à cliquer sur un lien pour obtenir une indemnité ou pour corriger une situation à votre sujet mais qui n'existe pas.
Les thèmes les plus utilisés pour tromper
les assurés sont :

  • le renouvellement de la carte Vitale ;
  • l’actualisation de votre dossier pour maintenir vos droits ;
  • une demande de coordonnées bancaires ou de numéro de carte bleue pour procéder à un virement en votre faveur ;
  • une fraude en cours sur votre compte bancaire ou votre compte ameli.

Le plus souvent, le message indique un délai très court pour vous inciter à effectuer la démarche dans l’urgence, sans vérification préalable.

Exemples de nouvelles techniques de phishing

De nouvelles pratiques se développent. Dans certains cas, les assurés sont contactés par téléphone par une personne qui se fait passer pour un conseiller de l’Assurance Maladie. Cette personne explique à l’assuré avoir repéré des opérations suspectes sur son compte ameli et propose alors à la « victime » de régler le problème avec elle.

Focus sur les nouvelles pratiques frauduleuses en lien avec les prothèses auditives

Depuis cette année, lors d’appels, des assurés se voient proposer de prétendus rendez-vous de dépistage par un audioprothésiste, y compris à domicile afin de permettre la délivrance d’aides auditives en cas de perte d’audition. Cette démarche est non seulement illégale mais elle relève le plus souvent de la tentative de fraude. L’Assurance Maladie surveille cette technique grandissante d’escroquerie pour la faire cesser. De votre côté, il convient de ne surtout pas donner suite à ce type de démarchage et d’adresser un courrier à votre CPAM pour le signaler. Si vous avez des problèmes d’audition et pour bénéficier d’une prise en charge, l’appareillage auditif doit être prescrit par un médecin (un otorhinolaryngologiste (ORL) ou un médecin généraliste équipé) qui, après avoir réalisé un audiogramme, rédigera une ordonnance d’aide auditive s’il le juge nécessaire.
En savoir plus sur la page « Aides auditives : les bons réflexes à adopter face aux pratiques frauduleuses ».

Quels sont les indices qui doivent attirer votre attention ?

La première question à vous poser est : avez-vous fait récemment une demande à votre caisse d’assurance maladie (CPAM) ou avez-vous une démarche en cours ? Si c’est non, alors il faut redoubler de vigilance.
Voici d’autres indices à surveiller :

  • Le nom de l’expéditeur du mail.
    Pour s’assurer qu'il s'agit de messages émis par l’Assurance Maladie, vous pouvez vérifier que l’adresse mail de l'expéditeur finit par exemple par : @app.assurance-maladie.fr, @assurance-maladie.fr ou par @info.ameli.fr ou @ameli.fr, la première étant la plus courante. Il y a de fortes chances pour que le message soit frauduleux si l’adresse de l’expéditeur ne finit pas ainsi.
  • Une demande de rappel d’un numéro surtaxé ou des frais de livraison à payer.
    Si le message vous demande d’effectuer un paiement pour couvrir les frais de livraison pour l’envoi d’une carte Vitale, il s’agit d’un message frauduleux. L’Assurance Maladie ne facture jamais de frais de livraison et la création et l’envoi d’une nouvelle carte Vitale (si elle est perdue, abimée, volée par exemple) sont gratuits.
  • La forme du message : orthographe approximative, syntaxe défaillante, logos fantaisistes… la méfiance s’impose.
    Attention, les messages frauduleux sont de plus en plus personnalisés, soignés et donc crédibles, grâce notamment aux améliorations apportées par l’intelligence artificielle. Il convient de rester vigilant.
Capture d'écran d'un sms frauduleux (phishing Assurance Maladie) et les conseils pour s'en protéger. Tous les conseils sont repris dans cette page.

 

Image montrant un mail et des conseils pour reconnaitre un mail frauduleux (phishing Assurance Maladie) Tous les conseils sont dans cette page

Comment reconnaître un appel ou un message de l’Assurance Maladie ?

Toutes les communications de l’Assurance Maladie (courriels, téléphone et SMS) sont limitées à certaines informations. Au contraire des appels et messages frauduleux, l’Assurance Maladie ne vous demandera jamais :

  • vos identifiants de connexion au compte ameli, notamment votre mot de passe ;
  • des informations médicales ;
  • vos coordonnées bancaires complètes ou votre numéro de carte bancaire.

Lors d’un appel, un conseiller de l’Assurance Maladie doit se présenter avec son nom, son service et sa CPAM. Pour vérifier qu’il s’agit bien d’un conseiller de l’Assurance Maladie, vous pouvez lui demander le dernier remboursement versé sur votre compte : il a accès à cette information et peut donc vous répondre, si c’est un véritable conseiller.

Lorsque l'Assurance Maladie vous contacte par téléphone, le numéro de l'appelant qui s'affiche à l'écran de votre téléphone peut être soit :

  • le 3646 ;
  • soit le 01 78 85 70 03, pour les appels du service sophia.

Par conséquent, si vous recevez un appel d’un autre numéro que ceux mentionnés ci-dessus, il ne provient pas de l’Assurance Maladie.

Tous les SMS qui vous sont adressés par votre caisse d’assurance maladie proviennent d’un seul numéro, le 38 663, et ils commencent par « ASSURANCE MALADIE ».

Vous ne serez jamais contacté par courriel si vous n’avez pas ouvert de compte ameli.

À noter : Il est possible de recevoir des courriels concernant Mon espace santé pour vous alerter d’ajout ou de modification de document ou de la consultation de votre espace par un professionnel de santé : dans ce cas, l'adresse mail visible derrière le nom de l'émetteur est « [email protected] ».

Il est recommandé de faire toute modification de données personnelles soi-même, sans donner ses identifiants à une autre personne, par courriel ou dans son compte ameli, pour plus de sécurité.

Se protéger et éviter les risques : les bons réflexes à adopter

Le premier bon réflexe en cas de message douteux est de ne pas ouvrir le message, ni ses pièces jointes, et de ne pas cliquer sur les liens.
En cas d’appel suspect, il vaut mieux ne pas décrocher ou si c’est trop tard, n’hésitez pas à raccrocher lors de l’appel.

Vous pouvez vérifier que c’est bien l’Assurance Maladie qui vous contacte en vérifiant :

  • qu’il s’agit bien d’un des deux numéros officiels :
    • le 3646 ;
    • le 01 78 85 70 03, pour les appels du service sophia ;
  • ou d’une des adresses de messagerie électronique officielle qui finit par : @app.assurance-maladie.fr, @assurance-maladie.fr ou par @info.ameli.fr ou @ameli.fr

Les liens présents dans un message doivent impérativement renvoyer vers le site internet ameli.fr ou le compte ameli (assure.ameli.fr). Vous pouvez passer votre souris sur le lien pour l’afficher : si vous êtes redirigé vers un site autre, il s’agit d’une tentative d’escroquerie. En cas de doute, ne cliquez pas, vous pouvez retrouver toutes nos démarches sur internet en allant directement sur le site ameli.fr et tous les téléservices sur le compte ameli (assure.ameli.fr).

Les bons gestes numériques à adopter pour se protéger

Vous pouvez vous protéger par les mesures suivantes :

  • renforcer la sécurité de vos appareils numériques (ordinateur, téléphone) en acceptant régulièrement les mises à jour logicielles et en installant un antivirus ;
  • activer dans votre messagerie les fonctions de filtres sur les courriers indésirables : celles-ci effectuent en effet un premier tri ;
  • utiliser des mots de passe solides et différents pour chaque site ou service (plus de détails dans l’encadré ci-après). Ils seront ainsi plus difficiles à pirater ;
  • changer de mot de passe régulièrement ou dès que vous avez un doute.

Comment choisir un bon mot de passe ?

Un mot de passe vraiment sécurisé contient 12 caractères ou plus avec des majuscules et des minuscules, des chiffres et des caractères spéciaux.
Il faut éviter les mots de passe avec les prénoms des membres de votre famille et leurs dates anniversaires, informations souvent faciles à trouver sur les réseaux sociaux, par exemple. Évitez aussi les suites logiques de caractères : « 12345 » ou « motdepasse » sont trop évidents. En suivant ces règles, vos mots de passe seront plus difficiles à trouver pour les escrocs.

Vous êtes victime d’une escroquerie : que faire ?

Vous déposez plainte. Si vous avez constaté que la communication d’informations personnelles sert à usurper votre identité, si vous avez envoyé une copie d’une pièce d’identité ou si vous constatez des débits frauduleux sur vos comptes bancaires, la priorité est de déposer plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez.
Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
Idéalement, conservez des preuves des messages en faisant des captures d’écran avant de supprimer les messages suspects.

Si vous avez partagé vos identifiants de connexion au compte ameli à la suite d’une tentative de phishing, vous devez contacter votre CPAM en appelant le 3646 pour clôturer temporairement votre compte et vous permettre de le réactiver avec un nouveau mot de passe.

Si vous avez partagé des coordonnées bancaires ou votre numéro de carte bancaire, l’urgence est de prévenir immédiatement votre banque pour faire opposition, afin d'empêcher le vol de votre argent.

En cas de mail frauduleux, signalez-le via le portail officiel internet-signalement.gouv.fr que contient la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos). Celle-ci permet de transmettre les informations à un service d’enquêtes placé sous l’autorité de la Justice (procureur de la République).

En cas de réception de SMS ou de MMS non sollicités sur votre téléphone portable, vous pouvez transférer le SMS abusif au 33700, numéro gratuit pour les clients Bouygues Telecom, Orange et SFR.

Après ce transfert, vous recevrez un message vous demandant d'envoyer au 33700 le numéro depuis lequel vous avez reçu le SMS abusif. Ces informations sont transmises aux opérateurs, y compris le vôtre, qui pourront agir rapidement auprès des organismes à l'origine de ces SMS.
Ce dispositif d'alerte sur les SMS a été créé conjointement par les opérateurs télécoms, les éditeurs de services et les hébergeurs, en concertation avec les services du gouvernement en charge de l'industrie et de la consommation.
Pour plus d'informations sur ce signalement des SMS rendez-vous sur www.33700.fr.

10 conseils pour limiter les risques de phishing

  1. Soyez vigilant face à des mails inattendus, leurs liens et leurs pièces jointes.
    Soyez très prudent en cas de mails non sollicités, comme avec les liens et les pièces jointes, même s'ils semblent provenir de l’Assurance Maladie. Pour accéder à son compte ameli, il ne faut pas cliquer sur un lien dans un message mais il faut saisir l’adresse suivante https://assure.ameli.fr/.
  2. Vérifiez l'adresse ou le numéro de l'expéditeur.
    Examinez attentivement l'adresse mail de l'expéditeur. Les adresses les plus courantes de l’Assurance Maladie sont les suivantes : [email protected], [email protected] ou [email protected].
  3. Méfiez-vous des demandes urgentes ou menaçantes.
    Les attaquants utilisent souvent des messages urgents ou menaçants pour vous pousser à agir rapidement sans réfléchir. Prenez le temps d'analyser calmement le message.
  4. Ne saisissez jamais vos informations personnelles sur un site internet non sécurisé.
    Ne saisissez jamais vos informations personnelles comme votre mot de passe, votre numéro de compte bancaire ou votre numéro de carte de crédit sur un site web qui n'est pas sécurisé. L'adresse URL doit commencer par "https://" et un cadenas être présent dans la barre d'adresse.
  5. Utilisez un mot de passe différent pour chaque compte en ligne.
    N'utilisez jamais le même mot de passe pour plusieurs comptes en ligne. Si un pirate parvient à obtenir votre mot de passe, il pourra accéder à tous vos comptes utilisant le même mot de passe.
  6. Pour plus de sécurité, suivez toujours la démarche d’authentification en 2 étapes sur le compte ameli.
    Désormais pour se connecter au compte ameli, vous devez saisir un code à usage unique qui vous est transmis par mail.
  7. Mettez à jour régulièrement vos logiciels sur votre smartphone et ordinateur.
    Gardez vos logiciels et votre système d'exploitation à jour pour bénéficier des dernières protections contre les menaces.
  8. Soyez prudent lorsque vous utilisez les réseaux Wi-Fi publics.
    Les réseaux Wi-Fi publics (dans les cafés, les gares, les bibliothèques, les hôtels…) ne sont pas toujours sécurisés. Évitez de saisir des informations personnelles (identifiants, compte bancaire…) lorsque vous êtes connecté à un réseau Wi-Fi public.
  9. Faites confiance à votre instinct.
    Si quelque chose vous semble suspect, faites confiance à votre instinct et n'hésitez pas à vérifier ou à demander de l'aide.
  10. Signalez tout incident de phishing.
    Si vous pensez avoir été victime d'une tentative de phishing, signalez-le immédiatement à votre CPAM ou à votre banque.
Cet article vous a-t-il été utile ?
Pourquoi cet article ne vous a pas été utile ?
Le champ avec astérisque (*) est obligatoire.