Août 102011
 

Phishing, voilà un mot que vous entendrez souvent cet été. Vous pourrez aussi trouver ses synonymes plus francophones : hameçonnage, voire de filoutage. Tous ces termes regroupent le même concept :

Vous recevez un email, de votre banque, de votre système de paiement en ligne, de votre organisme de carte de crédit, de votre opérateur internet… Bref, une entreprise de confiance, avec laquelle vous traitez sans doute depuis des années. Cet email vous signale une facture impayée, un vol de vos données, une erreur dans votre dossier… et vous demande de cliquer sur un lien, qui vous amènera sur une page d’identification ou de vérification, qui vous demandera de confirmer des informations confidentielles afin de rétablir votre dossier.

Parmi ces informations d’apparence banale (nom, prénom, adresse, téléphone…), en figurent d’autres qui sont évidemment dangereuses : votre numéro de carte bancaire, voire de compte bancaire…

A qui et à quoi sert le phishing ?

Toutes ces données sont collectées par une personne (ou un groupe de personnes) qui rassemble ainsi une liste de milliers de noms. Ces listes sont ensuite revendues au marché noir proliférant sur Internet, ou gardées pour l’utilisation personnelle du pirate.

Car on peut faire beaucoup de choses avec ces données : vol d’identité, détournement de votre argent… Les conséquences peuvent vite devenir dramatiques. En utilisant le nom et l’apparence d’une entreprise envers laquelle le destinataire a confiance, le pirate a la quasi-certitude d’obtenir toutes les informations demandées.

Comment s’en protéger ?

Aujourd’hui, les organismes cibles sont conscients des risques, et en avertissent régulièrement leurs clients, par mail, lors d’une visite sur le site officiel… Les navigateurs internet protègent aussi de ces détournements d’URL, en bloquant l’adresse frauduleuse, souvent en se référant à une base de données d’emails frauduleux connus. Certains logiciels de sécurité (dont avast! Internet Security et Business Protection) incluent dans leur outil mail une protection anti-phishing complémentaire. Enfin, Google propose à ses utilisateurs de signaler toute page de phishing sur sa base de donnée, qu’il communique ensuite aux différents opérateurs.

Néanmoins, la plus efficace des solutions reste d’être vigilant et lucide. Il existe différents signes qui indiquent qu’on se trouve en présence d’un email frauduleux, il suffit d’apprendre à les repérer. Examinons-les ensemble avec un mail arrivé dans notre boite email ces derniers jours :

Un exemple d'email frauduleux touchant Visa, l'un des trois grands organismes de cartes de paiement en Europe

Voici un email que vous pouvez recevoir, que vous soyez client VISA ou non. Si vous n’êtes pas client, évidemment la question ne se pose pas et l’email peut partir directement à sa bonne place : la corbeille (après avoir signalé le lien !).

Si vous êtes client VISA, il va falloir examiner plus attentivement le contenu.

Déjà, vous pouvez constater l’erreur dans l’objet du mail et divers autres dans le corps du message (accords, orthographe, dates du copyright, mélange entre anglais et français dans le pied du message, signature douteuse…). Soyez certains qu’un email de cette importance est validé plusieurs fois en interne avant d’être envoyé, et que ce genre de fautes ne passera pas au travers. C’est donc un premier indice de taille.

Admettons toutefois que tous les mails frauduleux ne sont pas aussi évidents, et passons au deuxième indice : le manque de personnalisation. Certes, les organismes n’écrivent pas les emails manuellement, même pour vous indiquer quelque chose d’aussi vital que la suspension de votre carte de paiement. Cependant, ils gèrent tous le mailing par base de données, et votre email sera forcément adressé à votre nom, avec votre numéro client figurant dans l’entête ou le corps du message. L’émetteur de l’email frauduleux n’a aucun moyen de savoir votre identité (puisque c’est justement pour la récupérer qu’il vous contacte), et c’est donc un point que l’on retrouve sur tous les mails de phishing.

Troisième indice : vérifiez les différentes adresses : l’adresse email (soulignée en rouge) ressemble beaucoup à l’adresse officielle (verifiedbyvisa), mais on remarque qu’il manque la terminaison à « verifi-ed » (De plus, Verified by Visa est un service qui permet la sécurisation des paiements en ligne, et ne gère absolument pas votre carte bancaire). Les adresses e-mail sont souvent ressemblantes à celles de l’organisme officiel mais diffèrent légèrement : petites erreurs quasiment invisibles, inversion de l’ordre logique de l’adresse email, (nom-de-l’organisme@paiement.com), voire reprenant uniquement les mots clés de l’entreprise (ici : visa@europe.fr).

Enfin, lorsque vous passez la souris sur le lien proposé (zone en jaune), vous voyez apparaître dans votre navigateur une adresse qui n’a plus rien à voir avec Visa Carte (cadre rouge). Si vous aviez encore des doutes, voici la preuve définitive qu’il s’agit d’un phishing. C’est cette adresse-là que vous signalez à Google.

Avec ces trois indices (les deux derniers dans le pire des cas), vous êtes certains de vous trouver en face d’un email frauduleux.

Pour conclure :

Examinez toujours avec prudence les emails d’apparence officielle qui vous demandent de vérifier ou de confirmer des informations personnelles. Votre opérateur Internet, votre banque ou votre organisme de carte de crédit ne vous demanderons jamais de telles informations par email. Si vous avez un doute, ne cliquez pas sur le lien indiqué dans l’email, et accédez au site web de l’entreprise directement via votre navigateur, en tapant exactement l’adresse. Une fois que vous êtes identifié, si vous ne retrouvez pas ce genre d’informations dans votre compte en ligne, c’est qu’il s’agit d’un phishing.

 

Mise à jour du 12 Août  : vous pouvez aussi lire l’article très bien expliqué de Panoptinet : Attention au phishing PayPal. Il reprend également les conseils mentionnés ci-dessus, plus un ou deux autres, en rapport avec le phishing plutôt bien fait dont il se sert comme exemple.

 Laisser un commentaire

Vous pouvez utiliser ces tags et attributs HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(requis)

(requis)