Le phishing

Accueil logiciels_gratuits salon de mythe tchat/ IRC le forum le_phishing tester sa vitesse formule-excel menaces_virales photo-numerique la_tnt radio pars satellite lexique raccourcis_claviers donnee_perdues la_jingle_du_rw wifi bluetooth navigateur_web assemblage photo disquette_boot antivirus utilitaires messenger mp3 format d'images

 

"Phishing" est un détournement du verbe anglais "fishing", qui signifie "pêcher". Cette technique d'escroquerie utilise l'e-mail comme hameçon. Voici comment se déroule une "journée de pêche" :

1 - Vous recevez un e-mail...
...qui a l'apparence d'un véritable e-mail aux couleurs d'une société commerciale, comme une banque par exemple.

 

2 - Qui vous demande d'effectuer une opération...
... comme de vous connecter sur votre compte en ligne pour confirmer votre mot de passe, ou pour faire une mise à jour de vos données personnelles.

 

3 - Sur un site identique à celui de votre banque...
... qui imite parfaitement son comportement, en général sous la forme de fausses pages de maintenance technique. Même l'adresse du site semble correcte.

On vous demandera votre identifiant, votre mot de passe, votre numéro de carte bleue, etc. On vous dira que tout s'est bien passé et que le problème est réglé. Vous serez même remercié(e) sur la dernière page et retournerez le coeur léger vaquer à vos occupations.


4 - L'escroc a désormais tout loisir d'accéder à vos comptes...
... avec lesquels il est en mesure d'effectuer en toute "légitimité" toutes opérations. En tout cas, toutes celles que vous êtes en droit d'effectuer si vous étiez vous même connecté(e).

Certaines techniques utilisent des failles de sécurité dans les navigateurs Internet qui n'ont pas été mis à jour.

Les e-mails ne sont pas sécurisés. Aucun chiffrement n'est appliqué à ce que vous envoyez, tous vos e-mails peuvent donc être lus par quiconque se trouvant sur le "chemin" de votre ordinateur à celui de votre correspondant. N'envoyez aucune donnée confidentielle telle qu'un mot de passe par e-mail, ni vos coordonnées bancaires.

Phishing, comment l'éviter ?

Méfiez-vous systématiquement des e-mails demandant des informations personnelles en urgence.

Pour vous faire céder à la panique, les pirates utilisent le plus souvent un ton alarmiste. En règle générale, les faux e-mails ne sont pas personnalisés (avec votre nom ou votre numéro de compte par exemple), mais ceux-ci pourraient le devenir.

Les raisons invoquées pour vous demander des informations relèvent généralement de la sécurité de vos données personnelles: " Un problème technique nous oblige à ...", " Une mise à jour de sécurité va améliorer ..." ou encore " Un intrus a tenté de s'introduire sur vos comptes en ligne... ".

Certains vont même plus loin et vous donnent des conseils anti-phishing ! Ils précisent qu'il ne faut jamais divulguer d'informations confidentielles par e-mail et vous invitent à vous rendre sur leur site sécurisé pour changer de mot de passe, ceci afin de rendre plus crédible le message.

Quant aux informations demandées, elles concernent le plus souvent le numéro de carte de crédit, le numéro de compte, les identifiants de connexion, etc.

Considérez qu’un e-mail écrit dans une langue qui ne correspond pas à l’émetteur est d’autant plus douteux.


Assurez-vous de l'authenticité des messages.
Si vous avez un doute, ne cliquez sur aucun des liens. Tapez vous-même l'adresse dans le navigateur ou contactez la société par téléphone.

Vérifiez régulièrement les opérations effectuées sur vos comptes.

Vous repérerez ainsi tout mouvement anormal. Par ailleurs, certains sites d'achat en ligne proposent de mémoriser votre numéro de carte de crédit pour les achats ultérieurs. Il est conseillé de ne pas utiliser cette fonction pour assurer l'intégrité de ces informations.

Les dernières formes de phishing

elon l'APWG (Anti-Phishing Working Group) la menace du phishing continue de progresser fortement : +52% de juin à septembre 2005. A l'origine circonscrit à l'Amérique du nord, cette technique touche désormais la France et toute l'Europe.

Le cabinet d'études Gartner estime à 2,4 millions le nombre total d'internautes américains pris dans le piège du phishing pour un total de 929 millions de dollars de pertes.

Les techniques utilisées par les pirates sont en constante évolution. Voici donc une liste non exaustive des dernières formes de phishing.

Le phishing par fax

Des escrocs se servent du fax pour tenter de récupérer les identifiants bancaires ou de compte PayPal de leurs victimes.

Un email soit-disant émis par PayPal (système de paiement utilisé sur Ebay) ou par votre banque vous informe qu'un pirate tente d'effacer le mot de passe de votre compte et qu'elle souhaite s'assurer que celui-ci n'a pas été utilisé de manière frauduleuse. L'email contient un formulaire à remplir avec ses identifiants et à renvoyer par fax.

Attention donc, à ne jamais communiquer vos informations personnelles par email, fax ou sms.


Les fausses barres Google

La barre google est un programme s'installant dans votre navigateur sous la forme d'une petite barre additionnelle. Cette barre, proposée par Google, permet d'accéder directement au moteur de recherche et de bloquer les ouvertures de fenêtres intempestives.

Depuis le 5 Octobre 2005, une fausse barre du moteur, propagée à partir de services de messagerie instantanée, vise à récupérer les numéros de cartes bancaires.

Deux liens proposant le téléchargement de l'application frauduleuse circulent actuellement sur les réseaux de messagerie. L'activation de l'un d'eux mène l'utilisateur à une page piège qui démarre l'installation de la fausse barre Google tout en ouvrant un fichier d'aide Windows.

Une fois installée, rien ne distingue la fausse barre de la vraie, si ce n'est qu'elle lance à votre insu un programme espion nommé "World AntiSpy" et destiné à récupérer certaines de vos informations personnelles.