Voler votre argent par phishing : spam et site Web factice

Le phishing consiste à vous faire saisir des informations financières pour voler votre argent. Il se matérialise par un email factice (un spam) qui vous invite à remplir un formulaire sur un site Web factice. Ce site Web fait partie des catégories de logiciels malveillants, même si celui-ci n’est pas installé sur votre ordi ou mobile, pour une fois.

La cible : votre argent

Le plus souvent il s’agit de vous inciter à indiquer les informations confidentielles telles que :

  • numéro de carte ou de compte bancaire
  • identifiant et mot de passe sur des services de paiement en ligne (paypal par exemple), d’enchères (ebay par exemple)
  • etc

et toutes les données associées qui vont permettre au pirate de voler l’argent de votre compte bancaire ou d’autres services financiers.

Comment le phishing se manifeste ?

La première forme de phishing contenait directement un formulaire dans l’email. Une fois les renseignements confidentiels saisis, la validation du formulaire envoyait le tout au pirate.

Aujourd’hui on est gratifié d’une forme plus évoluée, pour nous donner davantage confiance, qui fonctionne en deux temps :

  1. vous recevez un e-mail qui a l’apparence du service en ligne (mêmes entête, logo …) qui, sous un prétexte quelconque, par exemple
    « votre compte expirera demain si vous ne saisissez pas les renseignements demandés »,
    vous incite à cliquer sur un lien contenu dans l’email; c’est une forme de spam, envoyé en grand nombre, sans savoir si les destinataires sont bien clients du service
  2. ce lien vous amène sur un site Web factice, dans lequel on vous demande de saisir toutes les données confidentielles et utiles au pirate pour voler votre argent. Soit ce site Web est malveillant en tant que tel, soit il a été piraté pour lui ajouter cette page Web malveillante.

La prévention

Les précautions sont les mêmes que contre le spam et les programmes malveillants par e-mail : protégez votre adresse email du spam.

Eviter de se faire pièger par un e-mail

Les imitations faciles à identifier

Si le courriel contient un formulaire demandant votre mot de passe sur un site d’enchères, votre numéro de carte ou de compte bancaire, c’est à coup sûr une imitation. Un service en ligne sérieux ne vous demandera jamais d’envoyer de telles données par e-mail.

Les solutions imparfaites

En analysant le courriel il n’est pas facile de savoir si votre service en ligne est bien à l’origine de l’envoi. Il aussi facile de prendre un courriel authentique pour une imitation que le contraire !

Une fois qu’on a cliqué sur le lien, l’URL dans la barre d’adresse du navigateur devrait commencer par le nom du service (« www.encheres.com » par exemple). Ça serait simple s’il n’existait pas une quantité de techniques pour maquiller l’URL, au point de donner au site factice la même adresse à l’affichage que le site officiel (par exemple Phishing et IDN).

La règle d’or

Ne jamais cliquer sur un lien dans un email qui vous demande des renseignements confidentiels, surtout quand il y a de l’argent en jeu.
Au lieu de cela :

  • retrouvez l’adresse officielle à partir d’une source sûre (un courrier sur papier, un prospectus officiel …)
  • ouvrez votre navigateur
  • tapez l’URL du service dans la barre d’adresse
  • identifiez-vous et recherchez la raison pour laquelle on vous demande de saisir vos données.

Si vous ne la trouvez pas, c’est une tentative de vol.

Comment réagir à une tentative de vol ?

Les sites Web des services financiers contiennent un formulaire ou une adresse e-mail de contact. Écrivez-leur en joignant une copie du courriel reçu avec l’entête (visible en demandant la source de l’e-mail).

Vous pouvez aussi envoyer une copie à l’APWG Anti-Phishing Working Group, organisme spécialisé contre cette menace.

Un peu de vocabulaire

« Phishing » est un néologisme venant de « fishing » et « phreaking« , qui pourrait se traduire par « aller à la pêche aux informations confidentielles, le plus souvent pour voler de l’argent ». C’est une forme d’ingénierie sociale (social engineering).

Informations complémentaires