Le phishing : ne tombez pas dans ses filets !

Le phishing, késako ?

Le terme phishing est la contraction du mot anglais "fishing", qui signifie "pêche", et du mot "phreaking", qui désigne le piratage de lignes téléphoniques. Le phishing, aussi appelé hameçonnage, est une escroquerie par courrier électronique (ou par téléphone), utilisée par des pirates informatiques. Le but est littéralement d'aller "à la pêche" aux données personnelles d'internautes, telles que le nom d'utilisateur, un mot de passe, voire des données bancaires, afin de les utiliser frauduleusement.

Un e-mail qui vous mène en bateau

Le phishing utilise la faille de sécurité humaine et non informatique. En clair, il s'agit d'abuser l'internaute, de le tromper pour usurper son identité !

La stratégie utilisée par les cyberpirates est généralement la même. Ils commencent par créer une adresse e-mail ressemblant fortement à l'adresse officielle d'un organisme ou d'une entreprise de confiance qui possède ou qui est susceptible de posséder des données personnelles. Dans l'e-mail, les escrocs invitent le consommateur ou le client à se connecter en ligne par le biais d'un lien hypertexte, pour une raison ou une autre. Il peut s'agir de prétexter la mise à jour des données personnelles sur eBay, la nécessité de vérifier que le compte d'utilisateur chez la banque X n'a pas été piraté (ce qui est un comble !), la nécessité de s'assurer que le numéro de carte Visa n'a pas été utilisé frauduleusement… L'internaute est invité à réagir au plus vite en réintroduisant ses données en ligne par le biais de l'hyperlien renseigné. Un clic sur ce lien le conduit alors à un formulaire qui se trouve sur une page web factice, un site-miroir, copie conforme du site officiel !

L'urgence généralement invoquée et la facilité d'amener rapidement l'internaute sur le site-miroir font tomber certaines personnes dans le panneau. Il faut également savoir que ces e-mails sont envoyés en masse, de manière aléatoire, à des milliers de personnes en même temps. Le but du jeu est d'attirer un internaute réellement client du site plagié.

Une fois vos informations personnelles entre les mains des escrocs, libre à eux de s'en servir pour faire des achats à votre nom, prélever de l'argent de votre compte en banque…

↑ Top

Comment se protéger ?

Le simple fait de recevoir un e-mail vous invitant, voire vous incitant, à communiquer vos données personnelles en ligne doit déjà avoir pour effet de mettre tous les voyants dans le rouge : méfiance !

Les banques et les organismes sérieux ne demandent en effet jamais de communiquer des informations aussi sensibles que des données de connexion ou des données bancaires par e-mail. Si vous recevez un tel e-mail, le mieux est de ne pas y donner suite et de l'effacer. En cas de doute, contactez directement l'expéditeur dont l'identité pourrait avoir été usurpée afin de vérifier la véracité de la demande. Pour ce faire, n'utilisez évidemment pas les coordonnées renseignées dans l'e-mail, mais des coordonnées fiables obtenues par un autre moyen (site officiel, call center…).

Quelques autres vérifications peuvent encore être effectuées :

  • l'e-mail est-il nominatif ou a-t-il été envoyé à "non-disclosed recipients" (ce qui indique que le mail a été envoyé à une large liste de destinataires) ;
  • contient-il des éléments personnalisés (numéro de client) permettant d'en vérifier la véracité ?
  • l'expéditeur a-t-il une adresse e-mail officielle ? Une adresse yahoo ou hotmail doit d'emblée éveiller votre méfiance. Par ailleurs, l'adresse de l'expéditeur peut ressembler très fortement à celle d'une entreprise connue (p.ex. : monsieur.untel(at)pay-pal.login.com) ;
  • l'orthographe du nom de domaine est-elle correcte ? Ne vous fiez pas à l'apparence du site vers lequel vous êtes redirigé : un site web peut être copié à la perfection !
  • l'hyperlien redirige-t-il vers une page sécurisée (htpps) ?

Enfin, dernier conseil : ne divulguez jamais de codes ou d'identifiants par e-mail !

Si malgré nos conseils, vous l’avez fait, contactez en tout cas votre banque afin de prendre les mesures nécessaires, déposez plainte auprès de la police fédérale.

↑ Top

Tous les moyens sont bons…

Outre le PC, le téléphone peut également devenir une arme redoutable entre les mains des escrocs du Net.

La technique utilisée est la suivante : un illustre inconnu à la voix électronique vous téléphone à partir d’un numéro étranger, vous demandant d’appeler un numéro de toute urgence afin de vérifier vos données bancaires.

Le numéro que vous appelez n’est pas seulement surtaxé (jusqu'à 25 € la minute !), le but principal de cette technique est de récolter un maximum de données bancaires afin de pouvoir les utiliser à des fins frauduleuses.

Un seul et bon conseil s’impose : ne donnez aucune suite à cet appel téléphonique !

↑ Top

Les nouvelles technologies au service de la tromperie

Outre l'email et le téléphone une autre menace connait un essor : le SMiShing ou arnaque par SMS.

Ici encore, la finalité demeure la même : abuser et voler des informations sensibles. La particularité du SMiShing est, comme son nom l'indique, d'employer un SMS. Autrement dit, il s'agit d'une forme de phishing aidé par la téléphonie mobile.

Selon des spécialistes de la sécurité, les utilisateurs d'appareils mobiles, tels les smartphones, courent ainsi jusqu’à trois plus le risque d’être la cible d’attaques de phishing. Ces spécialistes y voient deux raisons principales. Les utilisateurs de téléphones intelligents (smartphones) notamment sont toujours en ligne et réagissent souvent au quart de tour aux messages entrants. Surtout si ces messages semblent avoir un caractère urgent et émanent d’une banque par exemple ou d’une autre institution importante. De ce fait, les utilisateurs mobiles représentent un plus grand pourcentage de victimes durant les premières heures importantes d’une attaque de phishing.

En outre, les petits écrans des smartphones et d’autres appareils compacts ne mentionnent pas souvent l’URL ou l’adresse complète de l’expéditeur ou du site auquel il est fait référence. Il en résulte que les utilisateurs mobiles éprouvent des difficultés à distinguer les anomalies. Il leur est donc recommandé de ne pas cliquer sur des liens contenus dans des messages, puisqu’il n’est pas toujours évident de savoir où l’on va aboutir. Il est préférable de taper soi-même une URL ou une adresse (ou d’en utiliser une d’une liste d’adresses sûres).

↑ Top

Et si je suis déjà tombé dans le piège ?

Si vous vous apercevez trop tard que vous avez déjà communiqué des données bancaires, le premier réflexe à avoir est de bloquer votre compte et votre carte le plus rapidement possible. Il suffit pour cela d'appeler Card Stop au 070/344.344. Ce service est disponible 24h/24 pour toutes les cartes bancaires et cartes de crédit belges. Vous pouvez aussi dénoncer les faits à la Federal Computer Crime Unit, à l'adresse suivante : contact(at)fccu.be.

Inutile toutefois de sombrer dans la paranoïa : tout est une question de bon sens, Internet également !

↑ Top