Les escrocs continuent de nous bombarder de messages de phishing. Au cours des six premiers mois de 2025, des citoyens vigilants ont transmis plus de 4 millions de messages à suspect@safeonweb.be. Comment reconnaître un mail de phishing ? Voici les dix messages frauduleux les plus signalés.
Safeonweb.be, une initiative du Centre pour la cybersécurité Belgique, reçoit chaque jour près de 26 000 signalements de messages suspects de la part de citoyens. Cela représente un volume de près de 9,5 millions de signalements par an. Et ce n'est sans doute qu'un échantillon de ce que les escrocs diffusent réellement.
Que deviennent ces signalements ?
Chaque message est vérifié, tant au niveau du lien que des éventuelles pièces jointes. Si la tentative de fraude est avérée, nous intervenons. Les internautes moins attentifs qui cliqueraient malgré tout sur ce lien sont alors redirigés vers une page d'avertissement et évitent ainsi l’arnaque. En transmettant un message de phishing à suspect@safeonweb.be, vous permettez ainsi à d’autres d’éviter de graves ennuis.
Grâce à tous ces messages, nous sommes en mesure de publier des avertissements ciblés sur Safeonweb.be concernant les messages de phishing en circulation. Nous envoyons également ces « alertes » via l'application Safeonweb et les partageons en y ajoutant d'autres conseils et vidéos sur les médias sociaux tels que Facebook, Instagram et X. Au cours du premier semestre 2025, nous avons publié pas moins de 36 avertissements concernant les messages de phishing les plus courants.
Comment se protéger ?
La meilleure protection est d’apprendre à reconnaître les messages de phishing. C'est le thème de l’un des modules de formation que nous avons développés sur https://surfersanssoucis.safeonweb.be/fr/modules.
- Vérifiez toujours l'expéditeur. Les mails officiels sont toujours envoyés à partir d'une adresse mail officielle. Si ce n'est pas le cas, méfiez-vous.
- Passez la souris sur le lien dans le message, sans cliquer dessus. Vous vérifiez ainsi l'adresse du site Internet vers lequel vous êtes redirigé pour compléter vos données. Sur un smartphone, vous pouvez vérifier l’adresse en appuyant longtemps sur le lien. Ce n'est pas le site Internet officiel ? Il s'agit alors très probablement d'une tentative de phishing.
Nous avons indiqué ces deux étapes dans les messages frauduleux les plus signalés actuellement.
1. Faux mail de la Mutualité chrétienne (MC)
Le mail de phishing le plus courant copie un message de la MC. Ce type de mail n'est vraiment pas nouveau ; il est même plutôt récurrent. Dans ce mail de phishing, vous êtes invité à vous identifier via un lien, sans quoi vous n'aurez plus accès à leurs services. Ne le faites en aucun cas : vous donneriez accès aux escrocs à vos données bancaires. Quelques heures ou quelques jours plus tard, un pseudo-employé de votre banque ou de Card Stop vous contactera au sujet de ce mail frauduleux, soi-disant pour vous aider. En réalité, vos comptes seront vidés.
2. Faux mail de l'Institut national d'assurance maladie-invalidité (INAMI)
La semaine dernière, les Belges ont été presque aussi nombreux à signaler un mail de phishing utilisant le nom et le logo de l'INAMI. Les destinataires auraient droit à un remboursement de l’assurance maladie-invalidité. Pour le recevoir, vous êtes invité à communiquer des données personnelles telles que votre numéro de compte bancaire.
3. Faux mail de De Watergroep
De nombreux mails frauduleux dans lesquels des cybercriminels se font passer pour la société de distribution d'eau potable De Watergroep circulent à nouveau. Ces mails frauduleux sont très bien rédigés. Vérifiez toujours scrupuleusement l'adresse de l'expéditeur afin de vous assurer que le mail provient bel et bien de De Watergroep, par exemple.
De Watergroep met également en garde contre de faux SMS vous invitant à payer immédiatement une facture prétendument impayée. À défaut, vous risquez une coupure d’eau. Or, De Watergroep n'envoie jamais de messages via WhatsApp ou un numéro de GSM ordinaire.
Des mails et SMS similaires circulent également au nom de fournisseurs d'énergie, de télécoms et de services postaux (Engie, Luminus, Eneco, Telenet, Proximus, Orange, bpost, PostNL...). Faites dès lors toujours preuve de vigilance lorsqu'une entreprise vous demande de vérifier et de mettre à jour vos données client.
4. Faux mail de la police fédérale
Un mail en circulation depuis des années, qui semble provenir de la police fédérale et/ou d'Europol, continue de semer la panique. Vous êtes soi-disant convoqué dans le cadre d'une affaire de mœurs. Le message semble très sérieux et contraignant. Le mail vous incite à réagir en brandissant la possibilité d’un « règlement à l'amiable » qui vous permettrait d’éviter un procès. Or, la police n'envoie jamais de messages de ce genre. Ne répondez donc pas à ce mail et supprimez-le.
5. Les applications qui promettent de l’argent rapide
Les applications qui promettent de gagner rapidement de l'argent poussent comme des mauvaises herbes. Si vous tombez sur une telle application ou un tel jeu via une publicité intrusive sur Instagram, TikTok, Facebook ou un message via Messenger ou WhatsApp, soyez immédiatement sur vos gardes. Ne téléchargez jamais un jeu provenant d'une source inconnue. Vous risqueriez d'installer un programme malveillant qui volera vos données ou vous incitera à payer pour des fonctionnalités qui n'existent pas.
6. Faux message du service des impôts
Les escrocs cherchent souvent à établir un lien avec l'actualité pour attirer l'attention. Dès qu’une catastrophe se produit, il ne faut pas attendre bien longtemps avant que les premiers messages de phishing concernant des dons ne fassent leur apparition. En début d’année, vous recevez des messages vous informant que vos abonnements devaient soi-disant être renouvelés et en période de soldes on vous propose de fausses offres alléchantes.
C’est actuellement la période de dépôt des déclarations d’impôts annuelles auprès du SPF Finances. Les escrocs sautent sur l’occasion et envoient en masse des mails de phishing qui vous redirigent vers un faux site Internet. Pour consulter votre déclaration fiscale, rendez-vous sur la page de connexion de Tax-on-web.
7. Faux mail de mypension.be
Les cybercriminels aiment également se faire passer pour le service public mypension.be qui permet de visualiser le montant de notre future pension. Ne cliquez pas sur ce type de liens et, en cas de doute, rendez-vous toujours directement sur le site officiel mypension.be.
8. Fausse publicité sur les médias sociaux
Un robot de cuisine haut de gamme pour 39 euros ? Des baskets de marque à 90 % de réduction ? Les fausses publicités sur les médias sociaux connaissent une forte augmentation. Elles imitent des marques connues, utilisent des visages familiers ou inventent des « bons plans secrets » d'anciens employés : « J'ai travaillé chez Decathlon et je sais comment obtenir ce sac à dos à un prix imbattable ». Ce type de message est très populaire depuis quelques mois.
9. Faux mail de la banque
Un grand classique : un mail qui semble provenir de votre banque. Toutes les banques connues sont concernées. Ces dernières semaines, nous avons reçu de nombreux signalements de faux mails au nom d'Argenta, demandant de mettre à jour l'application. Ne cliquez pas sur les liens contenus dans le mail et, en cas de doute, appelez toujours votre banque.
10. Faux concours sur les médias sociaux
Vous avez peut-être déjà reçu un message d'un ami ou d'un membre de votre famille sur les réseaux sociaux vous demandant de voter. Ces derniers temps, un soi-disant concours de tatouages circule sur Instagram. Attention : il ne s'agit pas d'un véritable concours, mais bien d'une tentative de phishing qui peut conduire à la prise de contrôle de votre compte. On vous demande de vous connecter via un faux site Internet, après quoi les escrocs obtiennent votre nom d'utilisateur et votre mot de passe. Ils utilisent alors votre compte piraté pour escroquer vos amis avec de nouveaux messages de phishing. Ils peuvent aussi utiliser vos moyens de paiement, par exemple pour effectuer des achats via la carte de paiement liée à votre compte.
