Le phi­shing

Le but d’une attaque de phi­shing (ou hame­çon­nage en fran­çais), est de dérober les iden­ti­fiants de connexion à des uti­li­sa­teurs de comptes d’e-banking par exemple ou de dif­fé­rents sites mar­chands. Les hackers exploitent alors la cré­di­bi­lité de leurs vic­times en se pré­sen­tant à elles sous une fausse iden­tité.

Pour vous pro­téger contre le phi­shing…

  • ne cli­quez jamais sur un lien reçu par email, SMS ou Mes­senger, ou que vous auriez obtenu après avoir scanné un code QR, pour vous connecter à un ser­vice de banque en ligne.
  • ne rem­plissez jamais de for­mu­laires envoyés par cour­riel et dans les­quels on vous demande d'indiquer vos iden­ti­fiants de connexion.
  • ne révélez au télé­phone aucune infor­ma­tion confi­den­tielle comme vos mots de passe par exemple.
  • tapez tou­jours manuel­le­ment l’adresse de la page d’accueil du site du four­nis­seur de ser­vices ou de la banque dans la barre d’adresse de votre navi­ga­teur.
  • lorsque la page d’accueil s’affiche, véri­fiez la connexion SSL (https:// et sym­bole du cadenas) et contrôlez l’adresse Internet dans la barre d’adresse du navi­ga­teur pour vous assurer que vous êtes bien sur le bon site.
  • en cas de doute, contactez tou­jours direc­te­ment votre ins­titut finan­cier.

Voici com­ment se déroule géné­ra­le­ment une attaque par phi­shing

1. Prise de contact

Les hame­çon­neurs envoient une série de faux cour­riels en se fai­sant passer pour des col­la­bo­ra­teurs de pres­ta­taires de ser­vices en ligne ou d’instituts finan­ciers. Le contenu du mes­sage peut faire réfé­rence par exemple au fait que les infor­ma­tions concer­nant le compte ou les don­nées d’accès (par ex. iden­ti­fiant et mot de passe) sont obso­lètes, invi­tant les des­ti­na­taires à cli­quer sur un lien pour leur per­mettre de les actua­liser.

2. Inter­cep­tion des don­nées per­son­nelles

Or le lien en ques­tion ne conduit pas sur le site offi­ciel du four­nis­seur de ser­vices mais sur un site piraté, res­sem­blant comme deux gouttes d’eau à l’original. Tous les iden­ti­fiants et mots de passe tapés sur la page de connexion contre­faite finissent direc­te­ment entre les mains des mal­fai­teurs.

3. Enri­chis­se­ment

Grâce aux infor­ma­tions volées, les cri­mi­nels peuvent par exemple effec­tuer des vire­ments sur leurs propres comptes, faire des achats en ligne ou faire des offres sur les sites de ventes aux enchères, au nom et aux frais de la vic­time.

 

Si vous recevez des cour­riels d’hameçonnage, c’est que les escrocs connaissent votre adresse de mes­sa­gerie élec­tro­nique. Pour dimi­nuer ce risque et plus géné­ra­le­ment pour réduire la quan­tité de spam dans votre boîte de récep­tion, il convient de suivre quelques règles simples que nous avons regrou­pées dans notre article consacré au spam.

Le phi­shing désigne le vol d'informations confi­den­tielles comme p. ex. les iden­ti­fiants de connexion des inter­nautes.

Le terme anglais phi­shing est un mot-valise com­posé de « pass­word » et de « fishing » et signifie donc lit­té­ra­le­ment « pêche aux mots de passe ».

 

Mémento :

Pour aller plus loin

Le phi­shing ou hame­çon­nage clas­sique

Lors d'une attaque de phi­shing clas­sique, les assaillants tentent d’attirer leurs vic­times sur des sites Internet piratés au moyen de faux cour­riels, dans le but de leur voler leurs iden­ti­fiants (p. ex. numéro de contrat, mot de passe, etc.).

À la place ou en com­plé­ment de cela, ils ajoutent sou­vent des pièces jointes conte­nant un cheval de Troie qui, à l'ouverture du fichier, va dis­crè­te­ment s’installer sur le dis­po­sitif de la vic­time et, à partir de là, enre­gis­trer les iden­ti­fiants de connexion aux comptes de l’internaute ou l’amener à se connecter sur des sites piratés.

Bon à savoir : les ins­ti­tuts finan­ciers n'envoient jamais ce genre d'email.

Pré­ven­tion : ne cli­quez jamais sur les liens ou sur les pièces jointes contenus dans les cour­riels et tapez tou­jours manuel­le­ment l’adresse de l’institut finan­cier dans la barre d'adresse. Véri­fiez la connexion SSL et la vali­dité du cer­ti­ficat.

Spear phi­shing (har­pon­nage) et Dyna­mite phi­shing

Contrai­re­ment au phi­shing clas­sique, qui consiste à envoyer au hasard de grandes quan­tités d’emails à un large public, les des­ti­na­taires du spear phi­shing sont ciblés et reçoivent des cour­riels per­son­na­lisés et rédigés sur mesure.

L’expéditeur se fait alors passer pour une per­sonne de confiance, un membre de l’entourage, un col­la­bo­ra­teur ou un inter­lo­cu­teur connu de la vic­time. Conçu sur mesure, le contenu du cour­riel appa­raît plau­sible et authen­tique, si bien qu'il n’est sou­vent pas reconnu par les filtres anti-spam.

Lorsque ces emails per­son­na­lisés sont rédigés de manière auto­ma­tique et envoyés en masse, on parle alors de « Dyna­mite phi­shing ».

Pré­ven­tion : méfiez-vous des emails non sol­li­cités ou dont le contenu vous semble inha­bi­tuel, même si vous avez l’impression de connaître l’émetteur du mes­sage. En cas de doute, contactez ce der­nier en uti­li­sant un autre moyen de com­mu­ni­ca­tion, par télé­phone par exemple.

Smi­shing ou phi­shing par SMS

Les SMS sont de plus en plus uti­lisés pour les attaques de phi­shing. Le pro­blème du « smi­shing », c’est que la plu­part des cri­tères ser­vant à recon­naître les mails de hame­çon­nage ne s’appliquent pas dans le cas des SMS où le nom du des­ti­na­taire n’est pra­ti­que­ment jamais men­tionné. La langue et l’organisation de ces mes­sages courts sont par ailleurs trop simples et trop suc­cinctes pour per­mettre de tirer des conclu­sions sur l’authenticité du mes­sage. Enfin, la plu­part des dis­po­si­tifs mobiles ne per­mettent pas de véri­fier faci­le­ment le lien contenu dans le mes­sage ou l'identité du véri­table émet­teur. N’oublions pas non plus que beau­coup d'utilisateurs ont l’habitude de rece­voir des SMS de véri­fi­ca­tion lorsqu’ils ouvrent une ses­sion d’e-banking ou effec­tuent des tran­sac­tions finan­cières.

Pré­ven­tion : ne cli­quez jamais sur les liens contenus dans les SMS. Au contraire, tapez vous-même l’adresse de votre ins­titut ban­caire dans la barre d’adresse et assurez-vous qu'il s’agit d’une connexion sécu­risée (sym­bole du cadenas, adresse cible). Si vous recevez un SMS non sol­li­cité de votre banque, alertez-la en uti­li­sant les infor­ma­tions de contact offi­cielles (ex. numéro de télé­phone) et demandez à ce que l'on vous confirme l’envoi du SMS en ques­tion.

Vishing ou phi­shing par télé­phone

Le vishing est une variante du phi­shing basée sur la com­mu­ni­ca­tion vocale par télé­phone. Comme dans le hame­çon­nage clas­sique, l'utilisateur est incité, après s'être entendu raconter une his­toire bien ficelée, à révéler des infor­ma­tions confi­den­tielles comme par exemple ses iden­ti­fiants de connexion à son espace e-ban­king.

Pré­ven­tion : ne com­mu­ni­quez jamais de don­nées confi­den­tielles (p. ex. un mot de passe) à une autre per­sonne. Rac­cro­chez immé­dia­te­ment, lorsque l’on vous le demande au télé­phone. Uti­lisez uni­que­ment les numéros de télé­phone offi­ciels pour contacter votre ins­titut finan­cier.

Phi­shing par QR Code

Le prin­cipe de cette variante consiste à recou­vrir des QR Codes (Quick Res­ponse Codes) authen­tiques pré­sents dans des lieux par­ti­cu­liè­re­ment fré­quentés par des mosaïques du même type, conçues par des cyber­cri­mi­nels pour diriger les uti­li­sa­teurs vers de fausses adresses URL. Ce sys­tème permet ensuite aux hackers de démarrer immé­dia­te­ment des télé­char­ge­ments, en par­ti­cu­lier sur les dis­po­si­tifs mobiles, mais aussi d’exécuter des scripts ou d’afficher une fausse page d'ouverture de ses­sion d'e-banking.

Pré­ven­tion : n'utilisez jamais un code QR pour vous iden­ti­fier auprès d'un ins­titut finan­cier. Avant de scanner un code QR, assurez-vous que celui-ci n'a pas été recou­vert par un autre piraté. Véri­fiez si pos­sible que le lien conduit effec­ti­ve­ment à l'adresse sou­haitée.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une for­ma­tion :

For­ma­tion de base

La for­ma­tion de base pré­sente les menaces qui planent actuel­le­ment sur Internet ainsi qu’une pano­plie de mesures simples pour vous en pro­téger.

en savoir plus

For­ma­tion pra­tique

Exercez-vous sur des ordi­na­teurs pré­parés par nos soins et apprenez à appli­quer les prin­ci­pales mesures à suivre pour votre sécu­rité infor­ma­tique et la sécu­ri­sa­tion de vos opé­ra­tions d’e-banking.

en savoir plus

Send this to a friend