Phishing et faux RIB : les pirates affinent leurs arnaques… soyez prudent !

Pêche au gros

Le phishing n’a rien à voir avec ce qu’il était il y a encore quelques années. Les e-mails sont désormais bien écrits, sans faute, avec un expéditeur qui semble légitime. Plus que jamais, il est important d’être prudent et de procéder à des vérifications au risque de voir votre argent s’envoler.

Sébastien Gavois

Le 31 juillet à 16h35

5 min

Sécurité

Cela fait maintenant 30 ans que le phishing existe, les arnaques du genre n’ont donc rien de nouveau. Pendant des années, les tentatives avaient presque de quoi faire sourire : e-mails bourrés de fautes, phrases qui ne veulent rien dire, images et design plus que douteux, demandes totalement farfelues… Bref, on voyait le pot aux roses à des kilomètres.

Enlarge your phishing avec l’IA générative

Avec l’arrivée massive des intelligences artificielles génératives, les pirates ont changé de braquet. Ils peuvent désormais faire rédiger leurs contenus par les algorithmes, avec des phrases simples, faciles à comprendre et des messages quasiment sans fautes. Bref, de quoi se faire passer pour une communication authentique et tromper toujours plus d’internautes.

Les attaques par phishing sont généralement une forme de pêche au chalut : cibler le plus large possible pour essayer de récupérer un maximum de petits poissons dans le lot. Tout le monde est donc concerné : particuliers comme professionnels. Pour résumer, si vous avez un e-mail, faites attention. Avec les fuites d’e-mails par centaines de milliers, voire par dizaines de millions, les pirates ont de quoi lancer des lignes en masse pour essayer d’attraper des poissons.

Au cours des derniers mois (voire dernières années), nous avons remarqué une hausse sensible de la « qualité » des tentatives d’arnaques. Certaines professions sont plus à risque que d’autres, notamment celles ou vous pouvez recevoir des e-mails de personnes qui ne sont pas du tout dans vos contacts.

L’expéditeur n’est pas une information fiable

C’est le cas des journalistes, des commerciaux, des artisans… Les pirates n’ont pas besoin de chercher bien loin ou de cibler au plus juste : ils visent large et espèrent tomber sur la « bonne » personne. Une agence immobilière qui change de RIB, un service de stockage en ligne dont la capacité est bientôt atteinte, une plateforme de streaming dont le paiement a échoué, etc. Tout est bon ou presque pour essayer de vous arnaquer.

Vous n’êtes pas abonné ou client au service dont il est question ? Vous ne devriez donc pas tomber dans le panneau. Mais ce n’est pas grave pour les pirates qui spamment en masse pour essayer de faire mouche auprès des personnes potentiellement concernées.

Pendant longtemps, vérifier l’expéditeur était une bonne solution pour trier le bon grain de l’ivraie, mais cela n’a jamais été une méthode sans faille. On ne le répétera jamais assez, mais changer l’expéditeur d’un e-mail, c'est simple comme bonjour ou presque. C’est un champ de texte comme un autre ; ne vous y fiez pas ! Idem sur les informations que des entreprises prétendent connaitre sur vous. Des entreprises laissent parfois fuiter des précisions sur l’historique de vos commandes, en plus de votre e-mail, adresse, numéro de téléphone, etc.

Comment se protéger alors ? En prenant le temps de réfléchir. Lisez attentivement l’e-mail et demandez-vous s’il ne s’agit pas d’une arnaque. Au moindre doute, ne répondez surtout pas, ne cliquez pas, ne contactez pas un numéro de téléphone dans l’e-mail, etc.

« Information relative au paiement de votre loyer »

Voici un exemple avec un e-mail reçu par un proche venant prétendument de l’agence de location Orpi. Il est assez représentatif des modèles de mails de phishing en 2025.

Par « chance » pour les pirates, cette personne loue justement un appartement via ce réseau d’agence. Le mail est bien écrit, l’expéditeur semble légitime… du moins si l’on en croit la boite e-mail : « emailinfo@orpi.fr ».

Sans être experte en informatique et en cybersécurité, cette personne est sensibilisée à ces enjeux et s’est posée les bonnes questions. Sans cela, elle aurait pu perdre quelques centaines d’euros.

Réfléchissez, demandez confirmation par téléphone

Un premier gros red flag concerne l’e-mail indiqué dans le corps du message : orpiagenceimmobiliere at outlook.com. Il appartient à un autre domaine qu’Orpi et utilise un service générique (outlook) où tout le monde peut créer une adresse.

Que faire en pareille situation ? Supprimer le message. La fausse adresse en @outlook.com suffit pour partir en courant. Si on plonge davantage dans la partie technique et qu’on regarde les métadonnées, la supercherie est évidente, mais c’est une histoire que nous raconterons une prochaine fois.

Quoi qu’il en soit, si vous avez encore le moindre doute – et cela devrait toujours être le cas pour un changement de RIB –, ne répondez surtout pas. Cherchez le numéro de téléphone de l’entreprise – via un moteur de recherche, un document papier comme votre bail… surtout pas dans un e-mail ou sur un site dont le lien se trouve dans le message – et appelez directement l’entreprise pour avoir confirmation.

Dans le cas présent, si vous répondez à l’e-mail et si vous changez le RIB pour le paiement du loyer, vous allez faire un virement vers un compte géré par le pirate et perdre votre argent. Ce genre d’arnaque au faux RIB existe depuis des années, et continue de faire des victimes. Plus que jamais, la prudence est de mise !

Pour en savoir plus sur le sujet, Cybermalveillance propose une page dédiée pour savoir quoi faire en cas de fraude au virement ou au « faux RIB ».

Commentaires (46)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

tipaul Premium

Le 31/07/2025 à 17h12

À noter aussi que le domaine peut sembler OK. Je reçois en ce moment du phishing de la part de "mailjet-pro.com" (bien fichu)
L'idée doit être que je me connecte, leur donne mes identifiants et hop, ils peuvent inonder le monde avec encore plus de spam via cette plateforme d'envoi de mails...

Ramaloke Premium

Le 31/07/2025 à 17h23

Une "bonne pratique" qui ne fonctionne plus aussi est de regarder le domaine des URL, maintenant quasiment tout est "shrink", avec des raccourcisseur d'URL, dont on ne peut plus rien vérifier avant de cliquer...

CharlesP. Premium

Le 31/07/2025 à 17h53

De manière générale, si c'est shrink c'est que c'est que ça mérite plus d'attention.

Peu de (grosses) boîtes utilisent des raccourcisseurs d'URL et si elles le font c'est sur des domaines à elles, pas sur bit.ly.

Ramaloke Premium

Le 31/07/2025 à 23h21

Parce que tu connais tous les domaines de raccourcisseurs de tous les fournisseurs toi ?

Déjà rien que sur Outlook TOUS les liens sont en "safelinks.protection.outlook.com"
J'ai regardé si j'en trouvais dans mon boite mail, pour KissKissBankBank j'ai trouvé en "mjt.lu"

....

CharlesP. Premium

Le 01/08/2025 à 08h36

J'ai dit "ça mérite plus d'attention", pas "c'est poubelle direct"

billylebegue Premium

Modifié le 31/07/2025 à 21h19

Pour les urls bit.ly il y a une page pour vérifier l'URL
https://support.bitly.com/hc/en-us/p/link-checker

Ou une version générique
https://wheregoes.com/

Tanyuu Premium

Le 31/07/2025 à 17h25

Un premier gros red flag concerne l’e-mail indiqué dans le corps du message

Bel exemple ou c'est presque littéralement un gros drapeau rouge planté au milieu du mail

Sébastien Gavois Équipe

Le 31/07/2025 à 17h43

Pour nous oui, la personne avec qui j’en parlais trouvais ça « pratique » d’avoir le lien en plus milieu pour répondre à l’email (sans que ça soulève une grosse alerte). Comme quoi des fois chacun voit red flag à sa porte ^^

Frari Premium

Le 31/07/2025 à 17h33

la seule bonne pratique : NE RIEN FAIRE !!

que ce soit un mail ou un sms on ne clique sur RIEN !

Inutile d'essayer de savoir si c'est frauduleux ou pas, si le message vous donne l'impression que vous êtes concerné, allez vérifier directement sur le vrai site de votre "fournisseur" …

Oxygen Premium

Le 31/07/2025 à 17h39

Avec les GenZ et GenAlpha qui ne vivent que par la flemme, tu comprends que d'aller "vérifier", c'est déjà insurmontable pour eux.

CharlesP. Premium

Le 31/07/2025 à 17h54

Et c'est parti pour de l'agisme.
Comme s'il n'y avais pas des flemmards/incompétents/idiots (ou n'importe quel autre adjectif péjoratif) dans toutes les générations.

Mindblast Premium

Le 31/07/2025 à 18h02

C'est vrai que dans mon entourage 40-60ans, c'est pas que la flemme qui les guettent, c'est aussi et surtout le "osef"...

Rappelez-vous de vos parents et grands parents lorsqu'ils parlaient de votre génération, comme ils étaient flatteurs... 🤣

SebGF Premium

Le 31/07/2025 à 20h21

la seule bonne pratique : NE RIEN FAIRE !!

La même. Je jette immédiatement à la poubelle ces mails et SMS.

Si y'a un doute, aller directement sur le site concerné et ne pas ouvrir le mail.

Jarodd Premium

Le 31/07/2025 à 22h03

Perso j'ai pas d'ami, et j'ai coupé les ponts avec ma famille. Si je reçois un mail ou un sms, c'est déjà suspect.

lansing Premium

Modifié le 31/07/2025 à 19h00

Normalement en cas de changement de RIB, la banque d'un fournisseur est pas censée contacter les banques des clients pour faire la "portabilité" ?

Carboline

Modifié le 02/08/2025 à 18h11

Thorgalix_21 Premium

Le 31/07/2025 à 19h13

Il y a la plateforme Signal Spam qui met à disposition des modules pour les principaux clients mails sur iOS, Android, Windows et MacOS (p-e Linux, qui sait). On crée un compte chez eux. Ça permet d’avoir une BAL Signal Spam dans le client mails. Il suffit ensuite de déplacer le mail de phishing dedans et ils le récupèrent.

Alianirah Premium

Le 01/08/2025 à 09h09

Un module existe pour Mozilla Thunderbird ou Evolution (sous linux notamment).

BrainBSOD Premium

Le 31/07/2025 à 19h43

on est d'accord que lorsqu'on passe la souris sur le nom de l'expéditeur on peut voir réellement l'adresse email ?

Amabaka

Modifié le 01/08/2025 à 09h04

Ce n'est pas fiable, l'expéditeur peut être modifier pour mettre ce qu on veut. Comme dans l'exemple donné dans l article, l'expéditeur apparaissait bien comme @ orpi.fr

J'en ai reçu des comme ça aussi

swiper Premium

Le 01/08/2025 à 11h32

Non, cela peut être modifié comme expliqué dans l'article. Par contre, tu as accès à l'adresse d'envoi et pas le "nom d'affichage"

BrainBSOD Premium

Le 01/08/2025 à 21h23

oui c'est la ou je veux en venir mais dit maladroitement, ceu qu'on voit sur la capture c'est un nom d'affichage qui imite un format adresse mail mais en regardant les propriétés via un clic droit ou autre on doit voir la vraie adresse mail

Inodemus

Le 02/08/2025 à 10h50

La "vraie" adresse d'expédition peut aussi être modifiée, c'est aussi un champ fixé par l'expéditeur. Et pour cause, l'envoi d'e-mail est découplé de sa réception, on ne s'adresse pas obligatoirement aux mêmes serveurs pour envoyer que pour consulter. Si le serveur d'envoi ne vérifie pas le champ, et que ce serveur n'est pas blacklisté par le reste du monde, alors on peut mettre n'importe quoi.

C'est similaire à l'affichage du numéro de téléphone de l'appelant où on peut mettre n'importe quoi sans que l'opérateur qui reçoit l'appel ne puisse y faire quelque chose hormis blacklister l'opérateur de l'appelant, ce qu'il ne peut pas faire car ça bloquerait les appels légitimes.

Ey Premium

Le 05/08/2025 à 02h26

Non c’est pas un nom d'affichage, c'est bien l’adresse mail de l'expéditeur emailinfo@orpi.fr, et je ne croit pas qu'on puisse mettre comme nom d'affichage d'une adresse mail une autre adresse mail.
Le nom d'affichage se trouve au dessus de l’adresse dans le screenshot c'est juste "Orpi".

Pour info le soucis principal c'est que le domaine principal de orpi, c'est orpi.com pas orpi.fr.
Orpi aurait dû se protéger en achetant le domaine orpi.fr et en empêchement les envois de mail via le DMARC.

fred42 Premium

Le 05/08/2025 à 09h49

orpi.fr est enregistré depuis 1999, à une époque où il fallait prouver que l'on avait bien le droit de déposer un nom de domaine en fr, ici, qu'on était bien la société Orpi.
Il faut éviter de croire que les sociétés ne réservent pas le domaine en .fr même si elles utilisent le .com.

Ce qui est amusant, d'ailleurs, c'est que si l'on essaie d'aller sur www.orpi.fr en https, le navigateur affiche un problème sur le certificat qui est en fait celui de orpi.com !

Techniquement, un e-mail, c'est du texte envoyé, on y met ce que l'on veut, aussi bien dans ce que vous appelez "nom d'affichage" que dans l'adresse mail.

C'est pour résoudre ce défaut que tout un tas de protocoles a été ajouté pour vérifier que le mail vient bien du domaine indiqué, mais ces protocoles ne sont pas obligatoires. Voir les articles de Next sur le sujet.

Ey Premium

Le 05/08/2025 à 14h25

Ha oui en effet bien vu orpi.fr est legit (mais inutilisé), je me suis fait avoir.
Il avait pas mal de red flag (pas de spf, ni dmarc, un registrar différent du .com) mais le certif est bien le même.

fdorin Premium

Le 05/08/2025 à 17h38

(mais inutilisé)

Toujours pas. Il y a des champs MX. Il est donc utilisé a priori pour les mails.

Un domaine, ce n'est pas forcément un site web.

Ey Premium

Le 05/08/2025 à 18h23

J'avais vu mais c'est justement à rajouter à la liste des redflags à mon sens vu que que c'est pas le même fournisseur mail que orpi.com (Securemail.pro vs Gmail).

fdorin Premium

Le 05/08/2025 à 19h21

Ce serait un mail en .ink (totalement au hasard ^^), en .it ou .io oui je comprendrais. Pour du .fr, je ne vois pas trop pourquoi ce serait un redflag.

Et c'est plus ou moins courant d'avoir des presta différents pour des domaines différents. La migration d'un presta à un autre peut être très douloureux au niveau d'une organisation entière, et il est plus sur de rester sur son presta actuel s'il est fonctionnel, et n'en changer véritablement que lorsque cela s'avère nécessaire.

Ey Premium

Modifié le 05/08/2025 à 20h33

Parce que le domaine principal, celui du site web de Orpi c’est orpi.com, pas .fr.
Après ce qui est un redflag, c'est l'ensemble de ce que j'ai relevé (ça + le spf, le dkim, des prestas différents sur le registrar et le mail), pris un par un évidement il peut y avoir une très bonne explication technique ou organisationnelle, mais le tout ça ressemble juste à 2 orgas différentes.
Ou une orga legit une autre fake...

Vu le nombre de docs ultra perso qui passent pas les boites mails des gens d'Orpi, ça donne pas très confiance qu'ils aient un domaine non protégé qui se ballade en .fr (et qui semble leur appartient vu le certificat).

fdorin Premium

Le 05/08/2025 à 20h59

alors oui, avec les éléments en plus (enfin plutôt en moins !) comme le SPF, je suis d'accord. Mais juste avoir un domaine en .fr et l'autre en .com ce n'est pas un redflag en soit.

La notion de domaine principale ne veut pas dire grand chose. Ce n'est pas parce qu'un domaine n'a pas de site associé qu'il n'est pas utilisé. Il peut y avoir des services (comme les mails, la VOIP, etc.) ainsi que des sous-domaines.

Inodemus

Modifié le 05/08/2025 à 10h15

Si Ey, on peut mettre ce qu'on veut en adresse d'expédition autant qu'en nom d'affichage, avec la seule restriction qu'il faut que ce soit au format adresse e-mail, là où le nom d'affichage peut être n'importe quoi.

ZeMeilleur

Modifié le 31/07/2025 à 20h28

Les e-mails sont désormais bien écrit, sans faute, avec un expéditeur qui semble légitime.

Avec une faute d'ortograf dans le chapô, dois-je comprendre que cette article est un phishing, ou c'est juste pour tester notre vigilance ?

Jarodd Premium

Modifié le 31/07/2025 à 22h02

J'ai noté aussi un "dont le paiement à échouer". Cela a été corrigé mais c'est toujours présent dans le flux RSS. Komparazar !!! Ça sent l'article rédigé par un brouteur pour endormir notre vigilance ! On t'a démasqué, "Sébastien Gavois" (wink wink) !

Sébastien Gavois Équipe

Le 31/07/2025 à 23h06

Bonsoir, avez-vous déjà profité de la réduction pour les travaux énergétiques ? Savez-vous que vous avez droit à des aides, avec 200 euros un mars ?
Oups, erreur de script dans les algos, dsl

Raromatai Premium

Le 31/07/2025 à 21h57

On ne le répètera sans doute jamais assez mais l'utilisation d'alias mails uniques pour chaque service limite considérablement les risques de se faire avoir (par mail).

Case_Of Premium

Le 31/07/2025 à 23h39

complètement d’accord, je ne compte plus combien j’ai créé d’alias ces 10 dernières années.

Ferrex Premium

Le 01/08/2025 à 10h03

213 alias à ce jour me concernant. Et j'ai encore quelques sites sur lesquels je dois changer l'email de mon ancien fournisseur vers un alias fourni par le nouveau fournisseur.

stratic Premium

Le 01/08/2025 à 11h03

Bonne occasion de compter : 856 alias

Ça fait longtemps que je pratique...

swiper Premium

Le 01/08/2025 à 11h33

Les alias, ça n'est pas une fonctionnalité offerte partout il me semble

CharlesP. Premium

Le 01/08/2025 à 16h04

Non, mais la plupart des fournisseurs supportent le plus-addressing (qui fait partie de la RFC pour les mails, donc théoriquement supporté partout).

C'est-à-dire que si j'envoie un mail à charlesp+nextink@domaine.com, il tombera dans le dossier nextink de charlesp@domaine.com. Très pratique.
Certains sites refusent parfois le symbôle "+" dans les adresses mails (la SNCF par exemple) mais c'est relativement rare.

Jarodd Premium

Modifié le 31/07/2025 à 21h59

Au moindre doute, ne répondez surtout pas, ne cliquez pas, ne contactez pas sur un numéro de téléphone dans l’e-mail, etc.

C'est ce que je fais (je me suis reconnu dans le dessin). Je reçois plein d'e-mails de Sosh ou Free pour me dire que je suis en impayé. Dans le doute, je ne réponds pas. Ce matin j'ai reçu l'e-mail d'un huissier, pour le même dossier. Je suis sûr que c'est un complice ! Quant à la convocation judiciaire qu'on m'a laissée, le logo est un peu flou : encore un détail qui ne m'a pas trompé

Je vous laisse, un monsieur avec un képi sonne à ma porte : lui aussi vient sûrement me mettre en garde contre tous ces escrocs !

tinc

Modifié le 31/07/2025 à 22h13

J'ai reçu un courrier des impôts pour vérifier quelques éléments de ma déclaration, le logo était en noir et blanc, pixelisé, et la lettre étaient bourrée de fautes.
J'ai vraiment hésité à répondre, mais après quelques vérifications ce n'était pas un brouteur

Mavelic Premium

Le 01/08/2025 à 15h27

Ce qui est inquiétant, c'est que maintenant il peut y avoir votre nom et même votre adresse dans le phishing... Il n'y a plus que l'email envoyeur et le lien foutraque à cliquer qui sont des éléments d'alerte.
Aller par soi-même vérifier sur le site réel est la seule façon de ne pas se faire hameçonner, et dans 99.99% c'est bien une tentative frauduleuse.

levhieu Premium

Le 01/08/2025 à 16h59

Pour un RIB, j'appelle systématiquement

fofo9012 Premium

Le 08/08/2025 à 09h43

Le vrai bon conseil est de considérer tout mail comme une simple notification et de ne jamais cliquer sur un lien dans un mail !
Orpi vous informe d'un nouveau RIB ? Je me connecte dans mon espace perso sur le site orpi (ou je lance l'appli mobile) : le site devrait mentionner cette info !

Bonne pratique, mon client mail "fairEmail" de f-droid m'informe systématiquement des URL : au chargement des images d'un mail, et au clique sur un lien d'un mail.