mardi 6 octobre 2009

Le Phishing

Le phishing, appelé également hameçonnage, est une technique utilisée par les fraudeurs du web pour obtenir les identifiants et surtout les mots de passe des utilisateurs de sites web. Le but : usurper leur identité, et surtout leur détourner des fonds.

Hameçonnage

Provenance

Le mot Phishing vient à la base du mot freaking, arnaque pour détourner les services de téléphone pendant les années 70 grâce aux appareils analogiques. Freaking est une contraction de Phone (téléphone) et Freak (marginal), c'est du piratage téléphonique. Selon Wikipédia, "un des mythes fondateur du phreaking est l'histoire de Captain Crunch. Ce phreaker de renommée internationale avait utilisé un sifflet trouvé dans une boîte de céréales Captain Crunch pour accéder à des fonctions spéciales du central téléphonique. En effet, le son émis par ce sifflet avait une fréquence de 2600 Hz, la même fréquence que le signal utilisé pour piloter le central téléphonique."

Salut c'est moi John Draper

Comment marche le phishing ?


C'est une arnaque marchant sur l'ingénierie sociale. Pas de piratage informatique, pas de logiciel incroyable qui teste les millards de combinaisons de mot de passe, pas de tours de passe passe, juste vous faire dire vous-même votre mot de passe à l'arnaqueur !

Le plupart du temps, vous recevez un email ressemblant trait pour trait à un email officiel d'un site pour lequel vous êtes inscrits. Pas très dur à faire, ils utilisent généralement des emails officiels qu'ils ont eux même pu recevoir, et les recopie trait pour trait en vous les envoyant. Dedans, le plus souvent, on vous signale un gros problème sur votre compte en banque, sur votre compte CAF, Paypal, ... et vous demande vos identifiants pour vous connecter au site.

J'ai par exemple reçu il y a quelques années un email insolite de Paypal du genre "Merci de votre commande. Votre commande de la télé 120 cm nous ai bien parvenu, d'un montant de 1500 € blablabla. S'il vous n'avez pas commandé ce produit, merci de cliquer ici". Et là, on clique, et nous voilà sur un site imitant trait pour trait le site officiel, page de connexion, demandant identifiant et mot de passe ! Mais pour l'instant, on ne vous a rien volé, c'est si vous rentrez vos identifiants et mots de passe que vous vous serez fait avoir ! Car c'est bien l'arnaqueur et pas Paypal qui réceptionne ces données, et qui les réutilisera à son escient.


Exemple d'email de phishing Paypal

Comment s'en prémunir ?

Pour ne pas se faire avoir, le plus simple est de bien vérifier :
  • l'adresse email d'expédition. Est-ce une adresse @paypal.fr ? ou @ppaypal.fr ?
  • l'adresse du site. Arrivez-vous sur le site officiel ? Etes vous sur www.paypal.fr, ? Vérifiez à la lettre l'adresse du site vers lequel on souhaite vous envoyer ! Ce n'est pas parce que l'adresse dans le mail est l'adresse officiel, que celle sur laquelle vous arriverez après avoir cliquée est la vraie.
  • Connectez en direct, sans passer par le lien dans le mail. Vous serez sûr ainsi de ne pas avoir de problèmes. Certains arrivent même, grâce à un google bombing à leur intérêt, à positionner leurs sites copiés sur le mot clé du site original, attention donc lorsque vous tapez le nom de votre banque dans Google.

Egalement, les sites officiels sont vite au courant de l'arnaque, et en informe leurs clients. N'hésitez pas à les contacter au moindre doute !


Plus d'infos sur le site officiel de protection contre le phishing

1 commentaire: