Sélecteur de langue

    Clics : 1050

    Phishing

    C'est quoi le phishing ?

    Le "phishing" ou hameçonnage en français, est une technique de piratage utilisée par les fraudeurs pour obtenir des informations personnelles. Souvent le but de la fraude est d'obtenir l'accès à la boite e-mail ou aux informations identitaires pour voler l'identité électronique d'une personne.

    Souvent la technique consiste à se faire passer pour une personne de confiance : banquier, réparateur informatique, conseiller, etc. Cette personne va d'abord demander des petites informations pour ensuite obtenir d'autres données comme le mot de passe, les numéros de cartes bancaires ou encore le numéro de la carte d'identité.

    Il existe beaucoup de vecteurs de phishing, le plus couramment par e-mail mais aussi avec des faux-sites, des fausses alertes sur internet, de fausses publicité et plus récemment de faux appels et SMS.

    Deux petites histoires... 

    Ces tentatives sont souvent grossières afin de ne viser que les personnes les plus crédules. Cependant, de plus en plus les mails et autres phishing deviennent élaborés. Récemment, j'ai reçu un e-mail avec un format identique à celui du service informatique de l'Université. Il me disait que ma boîte mail était saturée et m'a demandé de cliquer sur un lien pour la vider automatiquement. Je ne voulais pas perdre certains emails donc j'ai supprimé à la main. Jusqu'à me rendre compte en lisant l'adresse affichée qu'elle n'était pas conforme à celles utilisées habituellement par l'Université. En réalité, le lien allait m'envoyer vers un site internet quasiment identique au site de l'Université et me demander de taper mon adresse et mon mot de passe. J'ai presque été dupé et par chance je n'ai pas cliqué.

    Les phishings peuvent avoir des conséquences dramatiques. Récemment, un peu avant Noël 2019, j'ai entendu l'histoire de la mère d'une collègue qui s'est faite avoir : elle a donné son numéro de compte et les fraudeurs ont vidé ses économies et sa pension. Elle s'est retrouvée du jour au lendemain sans argent. Elle s'en est rendue compte trop tard et la banque n'a rien voulu faire car elle avait donné de son plein gré les accès. Joyeux Noël, la famille a dû prendre complètement en charge la dame en question. Comment ça a pu se passer ? Les fraudeurs ont téléphoné à son numéro privé (obtenu via de simples annuaires). Ils se sont fait passer pour des banquiers. La pauvre dame est désormais entretenue par sa famille qui peut heureusement lui venir en aide pour son loyer et ses courses.

    Bon à savoir :

    Pour vous éviter ce genre d'incidents tragiques, plusieurs choses doivent être connues :

    • Jamais personne ne vous demandera votre code, votre mot de passe, votre numéro de carte d'identité au téléphone ou par internet. S'il y a un problème avec votre compte bancaire (très improbable), vous ne serez jamais informé par email, ni par téléphone ou par SMS. On ne vous demandera jamais de procéder à des vérifications et encore moins qui nécessitent de transmettre des données comme le code PIN de votre carte, vos mots de passes ou les résultats des boîtiers de signature bancaire.
    • Ne signez jamais (avec les boîtiers bancaires) une transaction que vous n'avez pas explicitement demandée. Même si quelqu'un insiste au téléphone ou vous le demande expressément.
    • Si vous avez un doute : bloquer votre carte immédiatement. Signaler le site internet ou l'email aux opérateurs emails et aux institutions qui servent de prétexte à la fraude (souvent des banques ou des grosses entreprises internet comme Google, Amazon ou Facebook).
    • Vérifiez les URLs des sites que vous consultez, surtout s'ils s'agit de sites de ventes/achats, des sites bancaires ou des réseaux sociaux (voir ci dessous).
    • Ayez un mot de passe compliqué qui n'a pas de sens clair.
    • Les emails, SMS, ou autres tentatives de phishing peuvent provenir de sources de confiance (l'adresse mail ou le compte d'un ami par exemple)

    Quelques exemples :

    Il y a plusieurs types de tentatives de phishings qui sont connues :

    Vous avez reçu un héritage, gagné un prix, hérité d'une fortune, etc. Vous avez eu de la chance. Ces tentatives grossières ont souvent peu de chances de fonctionner et sont grossières exprès pour viser les personnes les plus crédules. Cependant, récemment, la difficulté de compréhension du web et des nouveaux systèmes informatiques a permis aux fraudeurs de devenir plus inventifs. Voici quelques fraudes dont j'ai pu avoir vent :

    • Un message apparaît sur votre navigateur qui bloque la page web que vous consultiez : vous devez faire une mise à jour d'un logiciel quelconque ou un service d'antivirus quelconque a détecté une faille de sécurité et vous demande d'installer son logiciel pour éliminer cette faille. Parfois le message varie, vous avez été piraté et votre ordinateur est crypté, vous devez envoyer une somme d'argent pour débloquer l'accès à votre disque dur ou encore vous avez été filmé par votre webcam pendant que vous consultiez des sites peu recommandables...

    Le principe de tout ces messages est de vous mettre dans le stress, dans l'urgence (parfois, ils s'accompagnent d'une voix robotique qui lit le texte au volume maximum ou d'un compte à rebours) afin de maximiser vos chances de faire des erreurs. Mêmes s'ils s'appuient sur des techniques de piratages possibles : les failles de sécurité existent et il est théoriquement possible de crypter un disque dur avec un virus. La vaste majorité des cas sont des bluffs. Ils visent à vous mettre en contact avec un correspondant téléphonique qui va ensuite vous faire faire deux ou trois manipulations bidons sur l'ordinateur (afin de vous faire croire qu'ils ont vraiment réparer quelque chose) et finalement de vous faire acheter leur antivirus.

    Si vous avez de la chance, cet antivirus fonctionne, souvent c'est bidon et dans certains cas, c'est un virus déguisé en antivirus. Mais cela peut être plus grave, ils peuvent demander à prendre le contrôle de votre ordinateur et installer toutes sortes de logiciels de surveillances ou de piratage. Afin de récupérer discrètement vos accès mails, bancaires, etc.

    Comment se protéger ?

    Je pense que la première chose est d'être au courant des multiples techniques de phishing, cela évite de se faire avoir par  naïveté comme lorsque j'ai failli cliquer parce que j'avais reçu un mail convaincant. Souvent les tentatives de phishing vont consister à se faire passer pour un service, un site, une institution ou une personne de confiance imitant un maximum le site que nous consultions ou le format des mails d'une institution.

    Une technique qui permet souvent de se sortir de ses attaques par "sites clones" ou "email clones" est de regarder au domaine hébergeur du site ou du domaine qui envoie l'email. Ces noms essaient souvent de ressembler au site qu'ils clonent. Cependant ce n'est pas toujours le cas. Une façon de vérifier cela est de regarder au nom de domaine dans la barre d'adresse du navigateur qui contient l'URL. Pour les emails, ces adresses sont parfois masquées par un alias dans votre gestionnaire d'e-mail. Dans ces cas là, souvent, placé le curseur de la souris au dessus de l'alias suffit pour révéler la véritable adresse.

    Le domaine d'un site internet ou d'une adresse email est toujours le dernier mot.mot avant le premier "/" de l'URL (sans compter le https://). Par exemple :

    Exemple d'une adresse de phishing, ici le domaine c'est bank.be  :

    • https://homebank.login.ing.bank.be/bess/get?id=12494.-1 -- ici le domaine est bank.be et pas ing.be, ce lien renvoie vers un site frauduleux.

    Conclusion :

    Soyez vigilant !

    Tags: , , ,

    Comments powered by CComment

    Module Recherche avancée

    Off Canvas Menu (FR)