Phishing Engie : une fausse promesse de remboursement qui piège de nombreux internautes
Depuis quelques heures, une attaque de phishing particulièrement élaborée cible les clients du fournisseur d’énergie français Engie. Les pirates ont conçu un faux site web, imitant presque parfaitement l’adresse officielle d’Engie, pour dérober des informations personnelles et bancaires.
Le stratagème repose sur une promesse alléchante : un remboursement fictif pour un trop-perçu. Analysée par ZATAZ, cette campagne combine manipulation psychologique et techniques d’usurpation numériques, plongeant de nombreux utilisateurs dans le piège. Voici comment cette attaque fonctionne et comment s’en protéger. La vidéo ci-dessous, vous entraîne dans cet engrenage pirate qui pourrait piéger de nombreux internautes.
Un site frauduleux qui inspire confiance
L’attaque s’appuie sur une technique appelée typo-squatting. L’adresse pirate, https://particulier-engie.com, ressemble de près à l’adresse officielle d’Engie, https://particuliers.engie.fr. Une analyse rapide pourrait laisser croire qu’il s’agit d’un site sécurisé et légitime grâce à son certificat HTTPS. Pourtant, plusieurs détails trahissent la supercherie : un tiret remplace le point, et le mot « particuliers » est volontairement écrit au singulier, sans oublier le « .com » de l’espace pirate. A noter que pour palier les outils de cybersécurité, le courriel usurpateur incitant à cliquer passe d’abord par un blog, hébergé en France.
En cliquant sur le lien frauduleux, l’internaute est redirigé vers un site qui imite à la perfection l’esthétique et la structure du portail officiel d’Engie. Ce leurre conforte la victime dans sa confiance, l’incitant à fournir des informations sensibles.
« Un site frauduleux qui inspire confiance grâce à un certificat https »
L’adresse pirate https://particulier-engie.com abuse de la confiance des internautes en utilisant un certificat HTTPS légitime et un typo-squatting habile.
Une fausse promesse pour manipuler
Le message des pirates est clair : « Vous avez un trop-perçu (vous avez payé plus que votre consommation réelle), qui n’a pas encore été réclamé. Le montant de votre trop-perçu s’élève à 62,33 €, dépassant ainsi le seuil de 10 euros. En conséquence, ce montant ne peut pas être reporté sur votre prochaine facture. Vous pouvez dès à présent réclamer votre trop-perçu pour en obtenir le remboursement.«
Ce message exploite plusieurs leviers psychologiques pour inciter l’utilisateur à agir rapidement :
- La promesse d’un gain financier immédiat : Le montant de 62,33 € est suffisamment important pour susciter l’intérêt, mais pas assez élevé pour éveiller les soupçons.
- L’urgence : Les termes « dès à présent » et « non réclamé » jouent sur la peur de perdre une opportunité.
- L’apparence de légitimité : Le site imite parfaitement les communications d’Engie, utilisant un langage formel et professionnel.
Des données personnelles et bancaires en danger
Une fois sur le site frauduleux, les victimes sont invitées à renseigner leurs coordonnées personnelles (nom, adresse, téléphone) et bancaires pour prétendument recevoir le remboursement. Mais ce n’est pas tout. L’attaque collecte également des données techniques, telles que l’adresse IP, le navigateur utilisé et la géolocalisation de la victime. Ces informations permettent aux pirates d’optimiser leurs futures attaques en personnalisant davantage leurs tentatives.
Pour couronner le tout, le formulaire détecte les fausses adresses électroniques et les adresses temporaires, contraignant les victimes à fournir des informations authentiques.
« Une fausse promesse de remboursement pour inciter à agir vite »
Le message frauduleux exploite le levier de l’urgence en évoquant un trop-perçu non réclamé, d’un montant alléchant de 62,33 €.
Comment éviter le piège ?
Rien de nouveau sous le soleil. Mais un rappel n’est jamais inutile. Toujours vérifier l’adresse URL. Les détails comptent. Un tiret, un mot au singulier ou une orthographe légèrement différente peuvent révéler une arnaque.
Ne jamais se fier uniquement au HTTPS : Ce certificat garantit une connexion cryptée, mais pas nécessairement la légitimité d’un site. L’unique adresse ENGIE : https://particuliers.engie.fr/
Se méfier des messages évoquant des remboursements inattendus : Les entreprises ne demandent généralement pas de telles informations par email ou SMS.
Utiliser des outils de vérification : Des plateformes comme le Service veille ZATAZ ou encore des antivirus dotés de filtres anti-phishing peuvent détecter ces menaces.
Cette attaque n’est pas isolée. Les campagnes de phishing ciblent les clients de marques de confiance pour duper les utilisateurs. Selon un rapport de l’ANSSI, 80 % des cyberattaques en 2023 incluaient des éléments de manipulation sociale. Ce cas illustre une fois de plus la nécessité de sensibiliser le grand public aux bonnes pratiques de cybersécurité. Le Social Engineering n’est pas qu’une phrase ; L’ingénierie sociale est un ensemble de techniques qu’il faut avoir vu, pour mieux s’en protéger. J’ai gagné, en octobre 2024, l’une des compétitions de SE les plus prestigieuses d’Amérique du Nord. Et croyez moi, le « phishing » n’est que la partie la plus haute et la plus visible posée sur l’iceberg malveillant qui flotte sur l’océan Internet.
En partageant cet article, vous contribuez à protéger vos proches de ce type d’arnaque. Face à des cybercriminels toujours plus ingénieux, la vigilance reste la meilleure arme. Pour rester informé des dernières menaces de cybersécurité et des meilleures pratiques de protection, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de ZATAZ.