||||
Symantec.com > Norton > Produits > Bibliothèque d'articles > Qu'est-ce que le phishing ?
 

Bibliothèque d'articles Norton

Qu'est-ce que le phishing ?

1 novembre 2006
Résumé Comment repérer une opération de pêche aux informations confidentielles (phishing) et ne pas mordre à l'hameçon.
Dans cet article

Introduction

En mai 2006, Takumi, un adolescent de 14 ans résidant à Nagoya, Tokyo, est devenu le premier mineur inculpé du délit de phishing. Takumi avait dupé les utilisateurs en les amenant à divulguer des données personnelles sur un site Web populaire de jeux fictif qu'il avait spécialement créé à cette fin. Grâce à ce stratagème, il est parvenu à dérober l'identité de 94 personnes. Il a même réussi, par du chantage, à forcer des adolescentes à qui il avait volé des informations confidentielles, à lui envoyer des photos d'elles, nues.

Il est évident que Takumi n'était pas si malin que cela. Il n'était pas non plus le premier adolescent à se faire prendre à son propre piège. En juillet 2003, un adolescent américain possédant un goût plus prononcé pour l'argent liquide que pour les photos était pris en flagrant délit de phishing. Michael, âgé de 17 ans, utilisait des courriers électroniques indésirables et une page Web AOL fictive pour extorquer les informations confidentielles des cartes de crédit qu'il utilisait par la suite pour dérober des milliers de dollars. Alors que son plan était bien peu louable, Michael s'en est extrêmement bien sorti puisqu'il n'a été condamné à aucune peine de prison et a seulement dû rembourser les sommes d'argent dérobées. Il est fort peu probable qu'une issue aussi favorable soit tolérée de nos jours. Depuis 2003, nous avons constaté les dégâts et les coûts que représente la fraude via Internet.

Au vu des stratagèmes employés par Takumi et Michael, vous vous demandez certainement de quoi est capable un adulte expérimenté animé de mauvaises intentions. Vous n'allez pas être déçu. Le présent article présente les escroqueries de phishing en détail et offre une vue d'ensemble de ce dont les escrocs professionnels sont capables. Mais avant tout, cet article vous explique comment repérer une tentative de phishing par courrier électronique car il n'est pas si difficile de se laisser duper.

Qu'est-ce que le phishing ?

Comme je l'ai dit précédemment, le phishing (littéralement la pêche) désigne précisément l'activité frauduleuse de pêche aux informations confidentielles réalisée par des arnaqueurs. En termes informatiques, une attaque de phishing débute généralement par le spoofing (l'usurpation) d'un courrier électronique. Vous avez donc l'impression que ce courrier émane d'une société que vous connaissez, que vous jugez digne de confiance et avec laquelle vous avez éventuellement réalisé des transactions. Le courrier électronique affirme avoir décelé une anomalie, telle qu'une utilisation frauduleuse ou des retraits excessifs sur votre compte, ou vous demande tout simplement de vérifier vos informations pour qu'une protection vous soit fournie. Quel bel exemple d'ingénierie sociale : l'escroc vous offre une protection contre des risques de sécurité !

Voici un exemple parlant d'une tentative de phishing bien connue, l'escroquerie PayPal :

Cher client/cliente PayPal
Nous effectuons actuellement des opérations de maintenance sur nos systèmes de sécurité. Votre compte a été sélectionné de manière aléatoire et vous allez être redirigé vers une série de pages de vérification d'identité
La protection de votre compte PayPal est au cœur de nos préoccupations et nous vous prions de nous excuser pour le désagrément que cette vérification peut occasionner. Veuillez confirmer que vous êtes bien le propriétaire de ce compte en saisissant ci-dessous les informations dans les champs prévus à cet effet.
Reportez-vous à la page https://www.paypal.com/cgi-bin/webscr?cmd=_login-run et prenez le temps de confirmer les données associées à ce compte. Pour éviter toute interruption de service, nous vous demandons de confirmer vos données de compte le plus rapidement possible. Votre compte sera alors mis à jour dans notre système et vous pourrez continuer à utiliser les services PayPal sans aucune interruption.
Votre compte se verra attribuer un drapeau indiquant un statut restreint si vous ne mettez pas vos données à jour.
Merci,
L'équipe Paypal
Nous vous remercions d'utiliser PayPal.

PROTÉGEZ VOTRE MOT DE PASSE

Ne le divulguez JAMAIS à personne et connectez-vous UNIQUEMENT via l'adresse https://www.paypal.com/cgi-bin/webscr?cmd=_login-run Protégez-vous contre les sites Web frauduleux en vérifiant leur barre d'adresse/leur URL à chaque connexion.
Si vous avez utilisé Internet pour réaliser des achats sur un site de vente aux enchères, vous connaissez certainement PayPal. PayPal est le service en ligne que la plupart des gens utilisent pour payer les achats réalisés sur des sites comme eBay. Bien qu'il ne s'agisse pas d'une banque, le mode de fonctionnement de PayPal est très similaire à celui d'une banque, et il vous permet de virer de l'argent en toute simplicité vers le compte d'un autre utilisateur PayPal par simple envoi d'un courrier électronique. Ces types de virements sont possibles car un compte bancaire ou une carte de crédit a été associé(e) au compte PayPal que vous (ou vos parents) avez ouvert.

Les consommateurs apprécient PayPal parce qu'ils préfèrent ne pas divulguer leur numéro de carte de crédit à des inconnus. Alors, quel est le problème ? Au cours des dernières années, PayPal est devenu l'une des cibles préférées des pirates et des escrocs. Et ce n'est pas tout. Nous avons certes abordé les attaques de déni de service et les vers dont l'objectif est de prendre d'assaut des sites Web commerciaux. Cependant, le plus gros problème auquel sont confrontés les principaux acteurs de la vente sur Internet tels que PayPal, eBay, Amazon, etc.au cours des dernières années n'a rien à voir avec les problèmes de sécurité sur leurs sites. Leur principale source de problèmes a été causée par le vol de données bancaires de leurs clients par des escrocs.

Si vous avez utilisé PayPal pour acheter un article aux enchères, vous connaissez probablement l'escroquerie suivante. En fait, vous avez probablement été ciblé par cette tentative d'escroquerie même si vous ne possédez pas de compte PayPal. Les auteurs d'attaques de phishing ressemblent en effet beaucoup aux spammeurs. C'est la quantité qui les intéresse, pas la qualité. Étant donné que PayPal ne compte pas moins de 78 millions d'utilisateurs dans 56 pays, la probabilité que les destinataires des attaques de phishing soient des clients de PayPal est relativement élevée. Croyez-vous qu'ils prennent le temps de le vérifier ? Non. Cela explique peut-être pourquoi vos parents ont pu recevoir des demandes de mise à jour de leurs informations bancaires pour des cartes de crédit qu'ils ne possèdent pas. La tactique des auteurs d'attaques de phishing, comme celle des spammeurs, est de miser sur les probabilités. Même si un pourcentage infime de consommateurs se fait prendre au piège, ils sont gagnants.

Vous pouvez constater que l'exemple de courrier électronique falsifié utilisant le nom PayPal vous demande de visiter une page Web spécifique : https://www.paypal.com/cgi-bin/webscr?cmd=_login-run. Ce lien intégré constitue une composante récurrente des tentatives de phishing. A un moment donné, les courriers électroniques de phishing vous demandent tous de cliquer sur le lien afin de vous connecter à votre compte et soit de mettre à jour vos données, soit de vérifier les informations associées à votre compte. Malheureusement, ce lien ne vous redirige pas vers votre véritable compte mais vers un écran fictif, souvent une série d'écrans fictifs, qui ressemblent à s'y méprendre à ceux que propose votre établissement bancaire.

Si vous suivez ce lien, toutes les données entrées seront transmises directement à l'auteur de la tentative de phishing. Si vous entrez un nom d'utilisateur et un mot de passe, vous offrez à cet escroc tout ce dont il a besoin pour usurper votre identité sur le véritable site bancaire. Ainsi, lorsque la cible de l'attaque de phishing est le compte d'une banque ou d'un établissement financier comme PayPal, vous donnez carte blanche à l'escroc pour vider vos comptes. Si vous entrez des informations de carte de crédit, vous pouvez vous attendre à constater rapidement des retraits inattendus. Selon les informations communiquées, l'escroc pourra peut-être même usurper totalement votre identité. Dans cette éventualité, des retraits supplémentaires sur vos comptes ne seront qu'un problème mineur. Tout escroc rusé est capable d'ouvrir d'innombrables comptes de carte de crédit en votre nom, qui ne seront évidemment jamais payés et mineront votre réputation auprès des organismes bancaires.

Toutefois, le courrier électronique n'est pas le seul moyen utilisé pour les tentatives de phishing. En réalité, ce genre d'attaque a vu le jour plusieurs dizaines d'années avant l'avènement des ordinateurs qui ont simplement rendu la tâche bien plus facile aux escrocs, désormais capables d'opérer de manière bien plus secrète. Les adresses de courrier électronique employées étant généralement falsifiées, il est en effet difficile de les identifier.

Cet article est un extrait du livre de Linda McCarthy intitulé Own Your Space: Keep Yourself and Your Stuff Safe Online (Maîtrisez votre espace : protégez-vous et protégez ce qui vous appartient lorsque vous êtes en ligne). Pour acheter ce livre, cliquez ici

Liens connexes

Norton 360
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.