Le phishing ou hameçonnage (5311 lectures)
200806/03
Petite explication avec preuve de pratiques frauduleuses de plus en plus répandues, le phishing ou hameçonnage.Qu'est-ce que le phishing ?
Le phishing est un type de falsification qui a pour but de voler votre identité. Ainsi, une personne malveillante tente d'obtenir des informations, telles que vos numéros de carte de crédit, vos mots de passe, vos numéros de compte ou autres informations confidentielles sous de faux prétextes. Ce type d'attaque se produit généralement par l'intermédiaire de messages électroniques non sollicités ou de fenêtres contextuelles.
Source : Microsoft
Concrètement, vous croyez recevoir un email de votre banque, formaté strictement à l'identique de ceux que vous recevez habituellement, qui vous avertit que vous devez vous rendre sur votre compte en ligne pour modifier certaines informations car votre banque suspecte une tentative de corruption de votre compte ou de votre carte bancaire. En cliquant sur le lien, vous arrivez effectivement sur un site dont l'adresse est celle de votre banque, le design est celui ed votre banque, et tout ressemble à ce que vous avez l'habitude de voir. Naïf, vous saississez votre numéro de carte bancaire et tombez ainsi dans le piège.
Un cas concret de piégage
La capture ci-dessous montre un message arrivée dans le logiciel de messagerie.
A première vue, tout indique que ce message provient bien du support Paypal qui nous avertit qu'il faut absolument se rendre sur son compte Paypal pour confirmer/infirmer ce qu'ils suspectent être une tentative de piratage de compte.
Jusque-là, cette simple lecture aurait de quoi en effrayer plus d'un qui va s'empresser de cliquer sur le lien proposé pour ensuite y donner ses identifiants.
Détection du phishing
Sans le navigateur Firefox qui a détecté que le lien demandé était susceptible d'être une contrefaçon, l'utilisateur aurait été piégé.
D'autres navigateurs détectent le Phishing, comme Opera ou Internet Explorer 7, et c'est déjà là un avertissement sur la qualité de mise à jour des logiciels que vous utilisez.
Comment détecter le Phishing ?
Dans mon cas, le message avait été auparavant détecté comme Spam ou Pourriel, grâce à un excellent gratuiciel, Spamihilator.
Comme je ne fais pas d'achat tous les jours, et surtout que j'en avais pas fait avec Paypal depuis un certain temps, ce message m'est immédiatement apparu comme suspect.
Après l'avoir récupéré, il suffit de vérifier les entêtes complet du mail, qui montre tout de suite que l'expéditeur n'est pas Paypal.
L'hameçonnage par email
Voici un autre cas d'hameçonnage assez efficace et que je n'avais pas encore rencontré : comment forcer un prospect à s'inscrire à une newsletter ?
Toujours en consultant mes spams, je trouve un message dont le titre peut laisser penser qu'il s'agit d'un email non pourriel, puisqu'il s'intitule "Demande d'autorisation". Je le rétablie donc dans le courrier normal et le consulte.
Voici ce qu'il contient dans la capture ci-dessous :
Le piège se trouve dans les liens, car 85% des liens textes et/ou images cliqués vont entrainer une inscription automatique à la newsletter, et ainsi des spams à n'en plus finir. Le contenu du message fait croire à une perte de leur base de données clients, et propose même d'être en conformité avec la loi !
En imaginant que le prospect soit prudent et désire cliquer d'abord sur le lien Accueil du menu avant de s'inscrire, ce lien le conduit non pas sur le site et sa page d'accueil mais sur la page de confirmation d'inscription.
On n'arrête pas le progrès dans les techniques marketing, qui prennent de plus en plus les clients pour des pigeons.
Afin de vous éviter de mauvaises surprises, penser à adopter des règles simples
- Utiliser des logiciels anti-spam pour filtrer le pourriel : Spamhinilator est excellent et gratuit,
- Utiliser un navigateur efficace qui dispose d'un filtre anti-phishing, comme Firefox ou Opera,
- Si un message vous demande des informations confidentielles (mot de passe, numéro de CB, etc.), considérez-le comme suspect tant que l'expéditeur n'est pas défini très précisément,
- Penser à vérifier les entêtes des emails de vos messages : ce n'est pas parce que l'adresse indiquée est une adresse connue (un proche, un contact qui vous écrit fréquemment), que le message provient de lui,
- Ne pas communiquer son adresse email à tout va (commerçants, etc.),
- Dans le doute, s'abstenir.
Dernière modification : 01/10/2008
A découvrir également :
JQuery, une librairie javascript performante
Commentaires
Ajouter un commentaire
Les champs en gras sont obligatoires.
Rechercher
Tuttifrutti CMS
CMS de gestion de contenu
Catégories
Derniers articles
- Lancement du Widget 1jour1vin
- Importer de grosses bases de données SQL en ligne de commande
- Paris en 26 gigapixels
- Mise en ligne du site Joaillerie de France
- 1jour1vin
- Naviguez plus sûrement et protégez votre ordinateur grâce à WOT
- Echec de la sortie de Firefox 3.5 malgré le succès prédit
- FredBoucher réalise l'intégration du nouveau site de marmara.com
- PHP rivalise avec Java en nombre de développeurs
- Le CMS TuttiFrutti pilote les sites de Clip Industrie
Archives
Fil d'infos 