Attaques - Phishing (hameçonnage)

Attaques / Arnaques
Piratage
Pirates
Typologie de pirates
Méthodologie
Exploits
Attaques cryptographiques
Mot de passe
Man in the middle
Rejeu
Déni de service
Déni de service
Attaque par réflexion
Ping de la mort
Fragmentation
Land
SYN
Techniques
Usurpation d'adresse IP (spoofing)
Vol de session (hijacking)
ARP poisoning
Ecoute réseau (sniffers)
Balayage de ports (Port scanning)
Débordement de tampon (Buffer overflow)
Spam
Mail-bombing
Vulnérabilités du web
Attaques web
Falsification de la saisie
Manipulation d'URL
Cross-Site Scripting
Injection SQL
Arnaques
Ingénierie sociale (social engineering)
Scam
Phishing
Loteries
Plus d'information
Virus
Cheval de Troie
Spyware
Hoax
FAQ sécurité
FAQ Internet

Introduction au phishing

Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.

La technique du phishing est une technique d'« ingénierie sociale » c'est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.

Le mail envoyé par ces pirates usurpe l'identité d'une entreprise (banque, site de commerce électronique, etc.) et les invite à se connecter en ligne par le biais d'un lien hypertexte et de metre à jour des informations les concernant dans un formulaire d'une page web factice, copie conforme du site original, en prétextant par exemple une mise à jour du service, une intervention du support technique, etc.

Dans la mesure où les adresses électroniques sont collectées au hasard sur Internet, le message a généralement peu de sens puisque l'internaute n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la quantité des messages envoyés il arrive que le destinataire soit effectivement client de la banque.

Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots de passe des internautes ou bien des données personnelles ou bancaires (numéro de client, numéro de compte en banque, etc.).

Grâce à ces données les pirates sont capables de transférer directement l'argent sur un autre compte ou bien d'obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles ainsi collectées.

Comment se protéger du phishing ?

Lorsque vous recevez un message provenant a priori d'un établissement bancaire ou d'un site de commerce électronique il est nécessaire de vous poser les questions suivantes :

Ai-je communiqué à cet établissement mon adresse de messagerie ?
Le courrier reçu possède-t-il des éléments personnalisés permettant d'identifier sa véracité (numéro de client, nom de l'agence, etc.) ?

Par ailleurs il est conseillé de suivre les conseils suivants :

Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'URL d'accès au service.
Méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Dans le doute contactez directement votre agence par téléphone !
Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affiché dans la barre d'état au bas de votre navigateur, et que le domaine du site dans l'adresse correspond bien à celui annoncé (gare à l'orthographe du domaine) !

Plus d'informations

Anti-Phishing Working Group

Discussions pertinentes trouvées dans le forum

29/09 20h22	[phishing] gare au vrai faux SSL	Actualités	02/10 20h58->teutates	9
15/08 00h52	Phishing - Nouvelle vague	Actualités	26/11 17h01->moka	7
20/03 12h03	Alerte au phishing pour les clients BNP	Actualités	21/03 14h49->kephas	6
28/04 21h04	Nouveau : Le phishing par téléphone	Actualités	09/05 08h36->Cqqn	6
07/05 16h24	[Phishing] Techniques de plus en plus tordues	Actualités	10/05 19h34->phil_2045	4
11/11 20h21	Free et Wanadoo - Phishing	Actualités	12/11 20h49->Taupophile	4
28/01 18h24	[Phishing] première condamnation en France	Actualités	31/01 13h15->teebo	3
28/05 07h20	[phishing] Tentatives d'escroquerie en cours	Actualités	28/05 10h33->Furtif	2
20/03 02h29	Attention Phishing !	Virus/Sécurité	20/03 20h57->Yoan	2
19/11 17h19	[Credit Mutuel] Escroquerie par Phishing	Actualités	23/11 14h25->jisisv	2
Discussion fermée Problème résolu		Plus de discussions sur « Phishing »