Arnaque Phishing: L'arnaque par courriel explication

Publié le 27 mai 2009 par opportunite38

L’arnaque par courriel se développe très vite. Comment reconnaître le phishing et l’éviter ? Qui se cache derrière ces tentatives d’extorsions ?

Que signifie « Phishing » ?

Le mot « phishing » est inspiré de l’anglais fishing qui vient de to fish et signifie « pêcher, partir à la pêche ». Par extension, on pourrait traduire par « mordre à l’hameçon ». Pour compléter la métaphore, le pêcheur, c’est le pirate. Et le poisson, c’est l’internaute.

En quoi consiste l’arnaque ?

C’est une technique de piratage par usurpation d’identité. Pour un pirate, elle consiste à se faire passer pour un site commercial ou bancaire afin de soutirer vos codes d’accès, coordonnées bancaires ou numéro bancaire.

Le scénario est le suivant : vous recevez un mail d’un site au quel vous êtes abonné (Paypal, eBay…) ou de votre banque, qui vous demande de cliquer sur un lien pour confirmer vos nom d’utilisateur et votre mot de passe. Si vous vous exécutez, vous êtes fichu !

Le site sur lequel vous êtes redirigé, qui a tout d’un vrai (graphisme, logo …) ne l’est pas plus que le mail d’avertissement. Les escrocs récupèrent alors vos précieux codes et procèdent au piratage de votre compte en effectuant, par exemple, des virements vers des comptes situés dans les paradis fiscaux. Ou bien encore, ils utilisent votre numéro de carte pour commander tous de suite sur internet.

Pour éviter d’être repérées, les pirates prennent soins de réaliser l’envoi via un « PC Zombie », c'est-à-dire un PC Piraté. Il peut appartenir à un particulier ou à une société. Même votre PC peut ainsi être utilisé à votre insu pour envoyer de phishing.

Comment identifier une tentative de phishing ?

L’imagination des escrocs ne semble pas avoir de limites. En général, le message reçu explique pour des raisons de sécurité, les informations personnelles de l’intéressé doivent être mises à jour. Ou bien c’est le système de gestion et sa sécurité qui ont changé. Ou encore, on vous demande de vous réinscrire pour vous faciliter la vie. Rien de plus facile, il vous suffit de cliquer sur le lien qui est fourni dans le mail. Si vous êtes naïf qui, justement, est en relation avec l’établissement prétexté, vous cliquez et livrez ses informations confidentielles, vous tombez dans le piège.

Qui est concerné par l’arnaque ?

Tout le monde ! L’envoi étant réalisé au hasard, le phising ne cible personne en particulier. La plupart des internautes qui reçoivent un faux mail d’un établissement bancaire ne sont d’ailleurs pas clients de celui-ci.

Les premiers cas ont été signalés à l’été 2004, mais le phénomène est en pleine expansion.

Qui se cache derrière de telles escroqueries ?

Ces escrocs professionnels maîtrisent parfaitement l’outil informatique. Ils savent que les polices s’arrêtent bien souvent aux frontières, et ils utilisent les paradis fiscaux comme plates-formes de travail. Ils s’agissent depuis n’importe où mais leurs pays préférés sont la Chine, la Malaisie, la Russie … qui sont leurs terrains de jeux favoris.

Le phishing est-il facile à repérer ?

La grande majorité des tentatives de phishing sont grossières et peut-être démasquées d’un simple coup d’œil. Il y a les messages pour le moins improbables, car rédigés en anglais ou concernant plusieurs établissements bancaires. Il y a ensuite les messages rédigés en français mais truffés de fautes d’orthographe et de formules approximatives ex : bonjour chère membre paypal, Crédit Mutuel qui vous salue ! Ou encore « le niveau de votre sécurité monte à nouveau degré qualitatif », pour finir par « Appuyez sur le lien pour vous faire enregistrer. »

Si, dans un premier temps, le message semble sérieux, vérifier l’adresse de l’expéditeur. Méfiez-vous de celles dans lesquelles le nom d’utilisateur et/ ou le nom de domaine sont approximatifs. Rappelez-vous aussi que, lorsque vous consultez un compte en ligne, l’adresse débute toujours par « https », le « s » qui signifie « sécurisé ». De surcroit, en bas de la fenêtre de votre navigateur, un cadenas fermé s’affiche. Si ce n’est pas le cas, il s’agit d’une page piraté.

Comment les pirates trompent-ils notre vigilance ?

De récentes tentatives de phishing se sont révélées très bien faites. La méfiance est donc plus que jamais de mise. Pour tromper votre vigilance, certains pirates utilisent une adresse à rallonge, dont l’intégralité n’est pas visible dans le navigateur. Ils utilisent aussi un nom de domaine présentant des similitudes avec l’établissement piraté. Enfin, d’autres utilisent des codes en JavaScript qui permettent de masquer la fausse adresse par une autre, bien réelle, elle.

Comment éviter de tomber dans le piège ?

Jamais votre banque ne vous réclamera par mail des informations personnelles sous prétexte de vérification, pas plus qu’un site marchand. Dans le cas d’une banque, et pour des raisons juridiques, aucun code secret n’est envoyé par mail : tout se fait par courrier postal. Ne cliquer jamais sur un lien contenu dans un mail aux couleurs de votre banque. Détruisez tout message suspect. C’est le principe de base pour éviter le phishing. Maintenant, nous avons des filtres antiphishing et spam mais il y en a toujours qui passe à travers, ceci est considéré comme du courrier non sollicité.

Si vous avez un doute, vous pouvez aller sur ce site : www.antiphishing.fr qui propose aux internautes de lui faire parvenir les cas de phishing reçus.

Que faire si l’on est victime de phishing ?

Si vous êtes tombé dans le piège en fournissant vos coordonnées bancaires, avertissez immédiatement votre banque puis changer vos mot de passe. Si une somme a été déjà prélevée, aucune assurance ne couvre ce cas de figure. La seule façon de rentrer dans vos frais, c’est d’espérer un geste commercial de votre banque.

N’hésitez pas à laisser vos commentaires !