Le phishing et les mesures à suivre pour s’en protéger
Le phishing (contraction des mots anglais « fishing », en français pêche, et «phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en «hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations auprès d’internautes.
Les pages de phishing sont l’un des problèmes majeurs de sécurité sur internet. La majorité des attaques utilisent des méthodes sophistiquées comme les fausses pages afin d’acquérir des informations sensibles.
Ce dossier vous permet de jetter un oeil sur le phishing et comment reconnaitre son message, comment s’en protéger et que faire face à ce type d’attaque.
Qu’est-ce que le phishing ?
Le Phishing est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations sensibles, personnelles et/ou confidentielles (coordonnées bancaires, vol d’identité…) appartenant à des internautes. Pour cela, ils reproduisent parfaitement le design d’un site commercial légitime, d’un fournisseur d’accès à Internet, d’une banque, etc. La forme la plus répandue reste l’envoi d’un email paraissant légitime et dont le contenu invite la victime à cliquer sur un lien afin d’y communiquer ses informations confidentielles
Comment procèdent les phishers ?
Les phishers envoient des emails à un très grand nombre d’internautes dont les adresses ont été collectées illégalement ou composées automatiquement par des outils spécifiques.
Ces emails reprennent les logos et typographies officiels de différentes sociétés comme des banques, des sites de e-commerce ou des fournisseurs d’accès à Internet, et demandent à l’internaute de cliquer sur un lien hypertexte inclus dans le message.
L’adresse URL du lien compris dans l’email est également « masquée » afin de paraître authentique.
- Les emails de phishing sont en général menaçants avec leurs victimes ou comportent des promesses ou des garanties.
- Ils contiennent bien souvent des fautes d’orthographe, des erreurs de syntaxe ou encore des informations erronées sur les références du client.
Toutefois les techniques de phishing s’affinent et se modernisent. Le mode opératoire ne change pas mais les faux emails deviennent moins grossiers, plus souvent rédigés en français et avec moins de fautes.
Comment reconnaître un message de type phishing?
- Aucune banque, ne vous demandera jamais de données confidentielles par e-mail ou via une fenêtre pop-up.
- Les messages de type phishing peuvent présenter les caractéristiques suivantes :
Les messages de type phishing sont parfois mal rédigés et peuvent contenir des fautes d’orthographe ou de grammaire. Il arrive qu’ils ne soient pas rédigés dans votre propre langue. Votre banque sait dans quelle langue vous souhaitez recevoir votre courrier et filtre minutieusement les erreurs éventuelles. Les messages qui ne répondent pas à ces critères sont, par définition, suspects.
Attention : les malfaiteurs ont recours à une communication de plus en plus professionnelle et filtrent déjà les erreurs éventuelles.
- Les messages de types phishing peuvent vous menacer de suites si vous ne répondez pas à la demande.
- Le lien contenu dans le message vous redirige vers un site Internet semblable à celui de votre banque. Ce site, contrairement à celui de votre banque, ne sera pas sécurisé.
- Le champ réservé à l’adresse de l’expéditeur contient parfois une adresse factice. Vérifiez toujours qu’il s’agit bien de l’adresse de votre banque. En cas de doute, contactez votre banque par les moyens habituels et ne répondez pas à l’e-mail.
- L’adresse de l’expéditeur peut paraître suspecte.
- Votre filtre anti-spam signale que le message est un spam.
- Le prétexte peut varier : on vous demande, pour des raisons de sécurité, de mettre à jour vos données ou de changer votre code ou encore de régulariser une facture impayée…
Par exemple, le message peut avoir pour objet :
» confidentiel » ou « nous avons remarqué un problème sur votre compte » ou « votre compte a été restreint » ou » votre carte bancaire est suspendue », etc.
- Le lien proposé vous conduit à un site pirate, copie apparemment parfaite, afin de récupérer vos données (numéro client et code confidentiel)
Comment réagir face au phishing ?
- Ne répondez jamais à ce type de courrier.
- Prévenez votre banque au plus vite en lui faisant suivre ce message.
- Assurez-vous lors des sessions Internet de la présence du code https:// devant l’adresse (url) du site, icône d’une clé ou d’un cadenas dans le bas de l’écran.
- Fermez toutes les autres fenêtres de votre navigateur (Explorer, Netscape, Firefox…).
- Tapez vous-même l’adresse exacte fournie par la banque, à la lettre près et attention aux fautes de frappe.
- Ne suivez pas de lien préétabli, ni même un lien mis dans vos favoris.
- Faites aussi attention aux messages vous incitant à appeler votre banque : prenez le temps de vérifier le numéro de téléphone.
- Vous pouvez signaler les tentatives d’escroquerie sur le site Internet signalement.
- Vous pouvez consulter les alertes de sécurité, de phishing, etc. sur le site de votre banque mais aussi sur d’autres sites ciblés comme par le site de la Caisse d’Allocation.