Attaque par phishing

Le « Phishing » (« Hameçonnage » ou « Filoutage ») est une attaque de type « Ingénierie sociale » consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part.

La méthode consiste à convaincre l'internaute, d'une manière ou d'une autre, de se rendre sur une page Web imitant parfaitement une page d'un site officiel d'une banque ou d'un organisme ou d'une administration ou d'un site quelconque de très grande taille, comme Yahoo!, utilisant des données d'authentification.

Le cybercriminel va à la pêche aux informations qui devraient rester cachées, et c'est vous-même qui allez les lui donner. C'est vous qui êtes le poisson que le cybercriminel ferre (« phishing » dérive du verbe signifiant « aller à la pèche » en anglais - « fishing », une forme verbale (participe présent / le gérondif) du verbe « To fish » (pêcher, aller à la pêche). Des pirates vont à la pêche et vont ferrer le poisson (l'internaute naïf).).

Le cas d'usage le plus répandu du « Phishing » (« Hameçonnage ») est l'envoi massif d'un message, par email (« Spam ») ou par SMS (« SMiShing ») accrocheur afin de récupérer des milliers d'identifiants - Mots de passe - N° de cartes bancaires - N° de comptes bancaires, etc. en quelques minutes.

Le site frauduleux (cette imitation parfaite d'une page d'un site réel d'une banque, d'un fournisseur d'accès Internet, d'un e-commerçant, d'une administration, etc.), vers lequel le gogo crédule est dirigé, va être détecté par des organismes de surveillance comme Lexsi, mais, entre temps, le cybercriminel, quelque part dans le monde, aura récupéré les données de quelques milliers de victimes et les aura déjà dépouillées.

Pour une raison quelconque, le texte va vous convaincre de donner votre « login » et votre « mot de passe », et d'autres données (carte bancaire, numéro de compte, code secret...), que l'attaquant récupère en clair, tout simplement, pour s'attaquer ensuite à vos ressources (piller votre compte bancaire, hacker vos sites Internet, fabriquer une carte de crédit falsifiée, tout savoir sur vous, etc.).

Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre :

• "EDF - Coupure de votre fourniture d'électricité demain - Veuillez régler immédiatement - Service contentieux."

• "EDF - Dernière démarche amiable avant coupure"

• "Suite à un crash de nos systèmes, vérification et réactivation de votre compte"

• "Urgent - Suspension de votre compte"

• "Demande de mouvement financier suspect sur votre compte - Veuillez vérifier"

• "Crédit Lyonnais - Mise à jour de notre système de sécurité"

• "Confirmation de facturation - Vérifiez les informations"

• "Société Générale : Une importante information"

• "Notification de restriction de l'accès au compte"

• "Problème concernant votre compte"

• "Notification de connexion à votre compte !"

• "[Free] Coordonnées non à jour - Ref. #4657682356789"

• "Confirmation de création de votre espace abonné"

• "Votre contrat a été modifié"

• "Confirmez votre adresse de courriel"

• "Problème sur votre carte bancaire !"

• "Votre compte d'accès a été limité"

• "Problème de non réception d'argent sur votre compte"

• "Problème facture N337624364 du 02/03/2013"

• "Si vous ne mettez pas à jour vos références, votre compte sera clos sous 24 heures."

• "Mouvements suspects sur votre compte, vérifiez vos coordonnées."

• "Le séjour avec hébergement payé que vous avez gagné - Nous n'avons pas reçu votre formulaire de réservation"

• "Concernant votre compte"

• "Prélèvement impayé - il vous reste 24 heures avant déclenchement de la procédure judiciaire."

• "Vous avez gagné le tirage de mercredi."

• Etc.

Tous les titres qui ressemblent, de près ou de loin, à ceux-là sont des cybercriminalités. Ne jamais les ouvrir. Voir, dans l'encyclopédie, les articles complets sur :

• Phishing.

• SMiShing ».