Le phishing ou hameçonnage consiste à vous faire saisir des informations financières pour voler votre argent. Il se matérialise par un email factice (un spam) qui vous invite à remplir un formulaire sur un site Web factice. Ce site Web fait partie des logiciels malveillants, sans être installé sur votre ordi ou mobile, pour une fois. Cette malveillance fait partie des attaques par ingénierie sociale très difficile à détecter au premier abord. Vous avez ici une phishing def détaillée.
La cible : votre argent
Le plus souvent il s’agit de vous inciter à indiquer les informations confidentielles telles que :
- numéro de carte
- numéro de compte bancaire
- identifiant et mot de passe sur des services de paiement en ligne (paypal par exemple),
- d’enchères (ebay par exemple),
- etc
et toutes les données associées qui vont permettre au pirate de voler l’argent de votre compte bancaire ou d’autres services financiers.
Phishing def
Voici la définition du phishing ou hameçonnage en détail. La première forme de phishing contenait directement un formulaire dans l’e-mail. Une fois les renseignements confidentiels saisis, la validation du formulaire envoyait le tout au pirate.
Aujourd’hui on est gratifié d’une forme plus évoluée, pour nous donner davantage confiance, qui fonctionne en deux temps :
- vous recevez un spam qui a l’apparence du service en ligne (mêmes entête, logo …) qui, sous un prétexte quelconque, par exemple
« votre compte expirera demain si vous ne saisissez pas les renseignements demandés »,
vous incite à cliquer sur un lien contenu dans le pourriel; c’est une forme de spam, envoyé en grand nombre, sans savoir si les destinataires sont bien clients du service - ce lien vous amène sur un site Web factice, dans lequel on vous demande de saisir toutes les données confidentielles et utiles au pirate pour voler votre argent. Soit ce site Web est malveillant en tant que tel, soit il a été piraté pour lui ajouter cette page Web malveillante.
« Phishing » est un néologisme venant de « fishing » et « phreaking« , qui pourrait se traduire par « aller à la pêche aux informations confidentielles, le plus souvent pour voler de l’argent ». Vous voyez dans cette phishing def que c’est une forme d’ingénierie sociale (social engineering).
La prévention
Les précautions sont les mêmes que contre le spam et les programmes malveillants par e-mail : protégez votre adresse email du spam. Mais si vous recevez quand même un email de phishing, voici ce que vous pouvez faire.
Éviter de se faire piéger par un e-mail
Nous avons vu dans la phishing def que l’attaque commençait par un email.
Les imitations faciles à identifier
Si le courriel contient un formulaire demandant votre mot de passe sur un site d’enchères, votre numéro de carte ou de compte bancaire, c’est à coup sûr une imitation. Un service en ligne sérieux ne vous demandera jamais d’envoyer de telles données par e-mail. Selon la phishing def ou hameçonnage, vous pouvez être sûr que c’est une tentative de vol de votre argent.
Les solutions imparfaites
En analysant le courriel il n’est pas facile de savoir si votre service en ligne est bien à l’origine de l’envoi. Il aussi facile de prendre un courriel authentique pour une imitation que le contraire !
Une fois qu’on a cliqué sur le lien, l’URL dans la barre d’adresse du navigateur devrait commencer par le nom du service (« www.encheres.com » par exemple). Ça serait simple s’il n’existait pas une quantité de techniques pour maquiller l’URL, au point de donner au site factice la même adresse à l’affichage que le site officiel ( par exemple Phishing et IDN ).
La règle d’or
Cette règle d’or est issue directement de la phishing def. Ne jamais cliquer sur un lien dans un email qui vous demande des renseignements confidentiels, surtout quand il y a de l’argent en jeu.
Au lieu de cela :
- retrouvez l’adresse officielle à partir d’une source sûre (un courrier sur papier, un prospectus officiel …)
- ouvrez votre navigateur
- tapez l’URL du service dans la barre d’adresse
- identifiez-vous et recherchez la raison pour laquelle on vous demande de saisir vos données.
Si vous ne la trouvez pas, c’est une tentative de phishing. En voici un exemple.
Comment identifier une tentative de phishing ?
Vous allez voir dans cet exemple toute la chaîne de l’arnaque, comme vous l’avez lu dans la phishing def. Pour commencer je vous montre l’e-mail qui amorce la tentative de phishing. Ainsi il vous invite fortement à cliquer sur lien vous conduisant à une page Web usurpée et malveillante. Il s’agit ici d’un soi-disant remboursement des impôts. Le but est de vous faire remplir des informations financières pour voler votre argent.
En plus des réactions possibles indiquées dans cet exemple, en voici une autre.
Comment réagir à une tentative de vol ?
Les sites Web des services financiers contiennent un formulaire ou une adresse e-mail de contact. Écrivez-leur en joignant une copie du courriel reçu avec l’entête (visible en demandant la source de l’e-mail).
Vous pouvez aussi envoyer une copie à l’APWG Anti-Phishing Working Group, organisme spécialisé contre cette menace.