Voler votre argent par phishing : spam et site Web factice
Le phishing consiste à vous faire saisir des informations financières pour voler votre argent. Il se matérialise par un email factice (un spam) qui vous invite à remplir un formulaire (sur un site Web factice).
S'abonner au flux RSS
-
Publiée le 4.4.2005
La cible : votre argent
Le plus souvent il s'agit de vous inciter à indiquer les informations confidentielles telles que :
- numéro de carte ou de compte bancaire
- identifiant et mot de passe sur des services de paiement en ligne (paypal par exemple), d'enchères (ebay par exemple)
- etc
et toutes les données associées qui vont permettre au pirate de voler l'argent de votre compte bancaire ou d'autres services financiers.
Comment le phishing se manifeste ?
La première forme de phishing contenait directement un formulaire dans l'email. Une fois les renseignements confidentiels saisis, la validation du formulaire envoyait le tout au pirate.
Aujourd'hui on est gratifié d'une forme plus évoluée, pour nous donner davantage confiance, qui fonctionne en deux temps :
- vous recevez un e-mail qui a l'apparence du service en ligne (mêmes entête, logo ...) qui, sous un prétexte quelconque, par exemple"votre compte expirera demain si vous ne saisissez pas les renseignements demandés", vous incite à cliquer sur un lien contenu dans l'email; c'est une forme de spam, envoyé en grand nombre, sans savoir si les destinataires sont bien clients du service
- ce lien vous amène sur un site Web factice, dans lequel on vous demande de saisir toutes les données confidentielles et utiles au pirate pour voler votre argent.
La prévention
Les précautions sont les mêmes que contre le spam et les programmes malveillants par e-mail : protégez votre adresse email du spam.
Eviter de se faire pièger par un e-mail
Les imitations faciles à identifier
Si le courriel contient un formulaire demandant votre mot de passe sur un site d'enchères, votre numéro de carte ou de compte bancaire, c'est à coup sûr une imitation. Un service en ligne sérieux ne vous demandera jamais d'envoyer de telles données par e-mail.
Les solutions imparfaites
En analysant le courriel il n'est pas facile de savoir si votre service en ligne est bien à l'origine de l'envoi. Ce test > 1 < prouve qu'il aussi facile de prendre un courriel authentique pour une imitation que le contraire !
Une fois qu'on a cliqué sur le lien, l'URL dans la barre d'adresse du navigateur devrait commencer par le nom du service ("www.encheres.com" par exemple). Ca serait simple s'il n'existait pas une quantité de techniques pour maquiller l'URL, au point de donner au site factice la même adresse à l'affichage que le site officiel (par exemple Phishing et IDN).
La règle d'or
Ne jamais cliquer sur un lien dans un email qui vous demande des renseignements confidentiels, surtout quand il y a de l'argent en jeu.
Au lieu de cela :
- retrouvez l'adresse officielle à partir d'une source sûre (un courrier sur papier, un prospectus officiel ...)
- ouvrez votre navigateur
- tapez l'URL du service dans la barre d'adresse
- identifiez-vous et recherchez la raison pour laquelle on vous demande de saisir vos données.
Si vous ne la trouvez pas, c'est une tentative de vol.
Comment réagir à une tentative de vol ?
Les sites Web des services financiers contiennent un formulaire ou une adresse e-mail de contact. Ecrivez-leur en joignant une copie du courriel reçu avec l'entête (visible en demandant la source de l'e-mail).
Vous pouvez aussi envoyer une copie à l'APWG Anti-Phishing Working Group, organisme spécialisé contre cette menace.
Un peu de vocabulaire
"Phishing" est un néologisme venant de "fishing" et "phreaking", qui pourrait se traduire par "aller à la pêche aux informations confidentielles, le plus souvent pour voler de l'argent".
C'est une forme d'ingénierie sociale (social engineering).