Définition :
Le phishing (en français l’hameçonnage ou le filoutage) est une tentative d'escroquerie basée sur l'usurpation d'identité d'une personne ou d'une organisation de confiance, dans le but de voler des renseignements personnels.
Derrière la page web de l’institution à laquelle vous pensez accéder se cache un fraudeur qui va utiliser ces données à des fins personnelles.
Voici un exemple de mail que vous êtes susceptible de recevoir :
Le site http://www.cases.public.lu réalise une très bonne explication animée du phising, je vous la recommande en cliquant sur l’image.
Pour la petite histoire :
* Le terme phishing s'inspire du terme phreaking : mot-valise de « phone » et « freak ». Originellement, le phreaking était un type d'arnaque utilisé afin de profiter de services téléphoniques gratuits surtout présent à l'époque des appareils analogiques (années '70).
Le terme phishing aurait été inventé par les pirates qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe ».
* Le phishing, pratique de plus en plus courante, qui coûte cher aux clients, notamment des banques et des organismes de crédits et à ces institutions elles-mêmes. Cette fraude est estimée à 95 millions de dollars pour 2007. Elle touche également fortement les sites de ventes aux enchères tels qu’Ebay ou Paypal
* Le dernier cas de phishing médiatisé a eu lieu vendredi ou un jeune roumain, Sergiu Daniel Popa, a reconnu avoir participé à des opérations de phishing aux Etats-Unis. Ses escroqueries Internet se seraient échelonnées sur une période de trois ans et auraient généré pour les 7 000 victimes, un préjudice net de 700 000 dollars.
Quelques chiffres :
* Des analyses tendent à prouver que près de 40% des utilisateurs d'Internet ayant reçu une attaque de phishing à l'encontre de Citibank sont tombés dans le piège.
* Lors d'un test effectué par la compagnie anti-spam MailFrontier, 28% des adultes américains n'ont pu reconnaître l'e-mail frauduleux qui leur avait été envoyé.
* Le volume des victimes abusées, et donc de la réussite des attaques, varie de 3% à 5%. La loi du silence et la honte liées au fait de s'être fait extorquer des informations personnelles ou de l'argent gênent les enquêtes cherchant à mettre fin à ce système et empêchent de connaître les véritables chiffres.
Se protéger :
Savoir reconnaître le phising :
· Dans l’exemple proposé, la multiplication des fautes d’orthographe est un bon premier indice….
· De plus, votre boite email trie souvent les courriers indésirables et vous retrouverez donc cette « attaque » dans cet espace.
· Si vous vous êtes connectés au site par inadvertance, contrôler l’adresse email. Elle doit forcément commencer par https//. Le « S » est l’indication de sécurité qui apparait sur tous les sites réalisant la confidentialité des données personnelles.
· Soyez également vigilant si dans l’adresse URL (adresse de votre site internet) le symbole arobase (@) existe. Cela signifie que le site sur lequel vous vous connectez va essayer de vous connecter à un autre site frauduleux.
Et ensuite avoir les bonnes réactions :
- Ne pas cliquer sur les liens qui sont communiqués.
- Informer votre banque de la réception de ce courrier. Cela vous permet de vérifier qu’effectivement il n’existe aucune erreur sur votre compte.
- Ensuite votre banque fera remonter l’information au service de sécurité informatique qui se chargera d’éviter toutes conséquences plus lourdes à la fois pour leurs systèmes et pour les comptes des particuliers et professionnels.
Sachez qu’un site de phishing dure en moyenne 3-4 jours. Notre réactivité permettra de l’interrompre plus vite
- Si vous n’arrivez pas à joindre votre banque, connectez-vous au site en ouvrant une nouvelle page de votre navigateur (internet explorer, firefox, netscape…), vérifiez qu’il n’y a aucune erreur sur votre compte.
- Les banques sont très attentives à ces informations. Si la banque n’est pas réceptive à votre requête, insistez ! Quitte à parler à la direction ! Par contre ne soyez pas surpris si vous n’êtes pas remercié pour toute votre attention…..
- Et puis conformer vous aux recommandations pour lutter contre le hacking de la semaine dernière.
Cet exemple s’applique à la banque mais il peut avoir pour expéditeur « officiel » toute institution financière, votre assurance, votre mutuelle, ou toute entreprise commerciale. L’objectif de cette technique de récupérer des données personnelles permettant de procéder à des mouvements financiers ou des achats de masse sur votre compte, restez donc vigilant.
N’hésitez pas à compléter cet article de vos expériences, et à la semaine prochaine pour un nouveau lundi SSI.
Articles
Aucun commentaire:
Enregistrer un commentaire