Le phishing

Le terme

"Phishing" contraction des mots anglais "phreaking" (fraude informatique) et "fishing" (pêche) traduit parfois en "hameçonnage" ou "filoutage". Le but est d'attirer l'internaute vers un faux site (bancaire, de commerce électronique, etc.) en utilisant le mail comme appât.

La technique

Qu'est-ce que le phishing ?

Vous recevez un mail...

...qui a l'apparence d'un véritable mail aux couleurs d'une société commerciale, comme une banque par exemple.

Qui vous demande d'effectuer une opération...

... comme vous connecter sur votre compte en ligne pour confirmer votre mot de passe, ou pour faire une mise à jour de vos données personnelles, ou être informé d'une fraude vous concernant.

Sur un site identique à celui de votre banque...

... qui imite parfaitement son apparence. On vous demande votre identifiant, votre mot de passe, votre numéro de carte bancaire, vos codes secrets, des informations personnelles, etc.

On vous informe ensuite que tout s'est bien passé et que le problème est réglé. En bref, pour vous, tout va bien.

Mais l'escroc a désormais tout loisir d'accéder à vos comptes...

... sur lesquels il est désormais en mesure d'effectuer toutes les opérations que vous êtes vous-même autorisé(e) à réaliser quand vous êtes connecté(e).

Important

Certaines techniques utilisent des failles de sécurité dans les systèmes d'exploitation, les navigateurs Internet, les logiciels associés (Java, Flash, etc.) qui n'ont pas été mis à jour. Pour y remédier, suivez les conseils de la rubrique "Mise à jour du poste". Veuillez répéter cette sécurisation au moins tous les mois.

Les mails ne sont pas sécurisés. En clair, tous vos mails peuvent être lus par quiconque se trouve sur le "chemin" reliant votre ordinateur à celui de votre correspondant. N'envoyez par mail aucune donnée confidentielle de type : mot de passe, coordonnées bancaires...

Des exemples

Les attaques par " phishing " concernent les services financiers (banques, etc.), les services gouvernementaux (CNAM, Impôts, CAF, etc.), les services d'énergie (EDF, GDF-Suez, etc.), les fournisseurs d'accès (Free, Orange, SFR, etc.), les sites marchands et les opérateurs de téléphonie mobile.

Les faux mails de banques

Dans l'exemple ci-dessous, remarquez le caractère anxiogène du mail, les fautes d'orthographe, la tournure des phrases. Ce faux mail est reproduit à titre indicatif.

Les faux mails des sites marchands

La même technique est utilisée mais le prétexte est en général un remboursement proposé.

Les faux mails de sites gouvernementaux

La même technique est utilisée mais le prétexte est en général un remboursement proposé.

Les faux mails de services d'énergie

La même technique est utilisée mais le prétexte très anxiogène puisque la menace concerne la coupure d'énergie !

Les bons réflexes

Méfiez-vous systématiquement des mails, appels téléphoniques et SMS, demandant des informations personnelles.

Pour vous faire ouvrir le lien ou la pièce jointe, les pirates utilisent un ton alarmiste ou proposent un gain, un remboursement.
En règle générale, les messages ne sont pas personnalisés à vos noms/prénoms mais ils pourraient le devenir.
Les raisons invoquées pour extorquer des informations relèvent généralement de la sécurité de vos données personnelles. Quelques exemples :

  • " Un problème technique nous oblige à ... "
  • " Une mise à jour de sécurité va améliorer ... "
  • " Un intrus a tenté de s'introduire sur vos comptes en ligne... "
  • " Suite à une erreur de notre part, nous vous devons ... "
  • " Suite à l'annulation de votre commande, nous vous devons ... "

Les informations demandées quant à elles, concernent le plus souvent le numéro de carte bancaire, le numéro de compte, le code d'accès, la date de naissance, etc.
Ce sont souvent des informations secrètes (codes, etc.) ou que la société en question connaît déjà de vous !

Assurez-vous de l'authenticité des messages

  • Ne cliquez sur aucun des liens si vous avez un doute.
  • Tapez vous-même l'adresse dans le navigateur ou contactez la société par téléphone.
  • Evitez de renseigner les informations personnelles demandées par ces messages.
  • Ne renseignez ce type d'information que sur un site Web sécurisé.
  • Considérez qu'un message (mail, message téléphonique, SMS, ...), donné dans une langue qui n'est pas celle habituellement utilisée par l'émetteur, est douteux.
  • N'appelez pas un serveur vocal que l'on vous aura demandé de rappeler par mail ou par un message téléphonique si vous ne connaissez pas ce numéro.
  • Ne tapez pas vos codes d'accès sur un téléphone, si les opérations que vous voulez effectuer sur ce serveur vocal ne sont pas de votre propre initiative.

Vérifiez régulièrement les opérations effectuées sur votre compte

Vous repérerez ainsi tout mouvement dont vous n'êtes pas à l'origine. Par ailleurs, certains sites d'achat en ligne proposent de mémoriser votre numéro de carte bancaire pour les achats ultérieurs. Evitez d'utiliser cette fonction pour éviter des achats frauduleux suite à l'usurpation de votre identité sur le site d'un cybermarchand.

Utilisez les fonctions antiphishing de votre navigateur

Les antivirus et les navigateurs proposent des mécanismes capable de détecter les "faux sites". Vérifiez auprès de l'éditeur de votre antivirus ou votre navigateur si cette fonctionnalité est incluse. Si vous avez une ancienne version de navigateur, vous pouvez tout de même ajouter cette fonctionnalité.
Un moyen de l'obtenir :
NetCraft (gratuit) sur http://toolbar.netcraft.com

Alertez l’organisme

Si vous avez un doute sur l’authenticité d’un message, si c'est un mail envoyez-le à l’organisme qui vous l’a prétendument envoyé pour l’alerter et lui demander si c’est un message légitime. Si vous recevez un appel téléphonique pré enregistré vous demandant de vous authentifier pour accéder à vos comptes, ou qui vous communique un autre numéro de serveur vocal à contacter, ne l'appelez pas mais prévenez INTERFIMO.

Pour les messages que vous recevez au nom de INTERFIMO, si vous avez le moindre doute quant à l'authenticité de l'un d'eux, transmettez-le à l’adresse mail suivante : communication@interfimo.fr.

En résumé

Méfiez-vous systématiquement des mails, appels téléphoniques, messages sur portable par mail ou SMS, demandant des informations personnelles en urgence.
Assurez-vous de l'authenticité des messages.
Vérifiez régulièrement les opérations effectuées sur vos comptes.
Utilisez les fonctions antiphishing des navigateurs.
En cas de doute, si vous avez l'information, contactez l'organisme qui vous a prétendument envoyé un message (mail, appel téléphonique, SMS, ...). Ne contactez par téléphone que les organismes réputés fiables, sinon vous risquez d'appeler un numéro fortement taxé, mis en place dans le but de vous soutirer de l'argent indirectement.

Que faire si

Si vous avez le moindre doute, si vous avez cliqué sur le lien et surtout si vous avez fourni des informations confidentielles, contactez rapidement le service client de l'organisme.
S'il s'agit d'un mail aux couleurs d’INTERFIMO, contactez INTERFIMO au 0810 26 26 26 et, si vous en avez la possibilité, transférez le mail reçu à communication@interfimo.fr, puis détruisez-le.
Si vous avez communiqué votre identifiant et mot de passe d’accès à la banque en ligne, modifiez immédiatement votre mot de passe en vous connectant à votre banque en ligne.
Si vous avez communiqué vos informations de cartes bancaires (numéro de carte, code pin, date d’expiration, cryptogramme ou code à 3 chiffres), faites opposition à votre carte bancaire le plus rapidement possible.

Bon à savoir

INTERFIMO n’utilise jamais le mail, SMS ou téléphone pour demander à ses clients d’intervenir sur leurs informations confidentielles.
Certains courriels d’hameçonnage, au visuel d’organisations non bancaires (opérateurs téléphoniques, ministère des finances, CAF…), n’ont pour unique finalité que de vous dérober vos secrets bancaires (particulièrement ceux des cartes bancaires).
Mais comment ont-ils eu mon adresse ? (Voir Spam : Bon à savoir)

Autres formes

Les techniques utilisées par les pirates ne cessent d'évoluer. Voici donc une présentation non exhaustive des dernières formes de phishing.

Le phishing par téléphone

Appelé aussi vishing. Des escrocs se servent maintenant du téléphone pour tenter de récupérer les identifiants bancaires de leur victime.
Un mail ou un appel téléphonique, prétendument émis par votre banque, vous informe par exemple qu'il y a des erreurs dans vos dossiers ou dans les transactions de votre compte. Ce message vous invite à contacter un serveur vocal censé appartenir à votre banque. Le serveur vocal vous demande de vous authentifier. Ce serveur vocal, qui appartient au pirate, récupère ainsi vos codes d'accès. Le pirate peut alors effectuer des opérations sur votre compte, à votre insu.
Il se peut aussi qu'un serveur vocal vous appelle directement et vous demande de vous authentifier immédiatement, sous de faux prétextes.

Le phishing par fax

Des escrocs se servent aussi du fax pour tenter de récupérer les identifiants bancaires de leurs victimes.
Un mail prétendument émis par votre banque, vous informe qu'un pirate tente d'effacer le mot de passe de votre compte. Le mail, qui vise soi-disant à s'assurer que votre mot de passe n'a pas été utilisé de manière frauduleuse, contient un formulaire à remplir avec vos identifiants et à renvoyer par fax.

Le phishing par téléphone mobile

Des escrocs utilisent également le téléphone mobile pour tenter de récupérer les identifiants bancaires de leurs victimes.
Par exemple, un SMS envoyé sur le téléphone mobile des victimes confirme leur inscription à un site payant de rencontre sur internet (alors qu'ils n'ont rien demandé). Pour ne pas payer, le SMS leur demande d'annuler leur inscription en se connectant à un site internet. Evidemment, c'est un site pirate, qui va installer un cheval de Troie à leur insu, et pouvoir voler des informations personnelles, comme des identifiants bancaires. Il se peut aussi que vous receviez un message (SMS ou MMS) pour vous connecter à internet depuis votre téléphone mobile. C'est sans doute un faux site qui récupèrera vos identifiants bancaires.

Les fausses barres de moteurs de recherche

Proposée par Google, la barre Google est un programme s'installant dans votre navigateur sous la forme d'une petite barre additionnelle. Son but : permettre d'accéder directement au moteur de recherche et bloquer les ouvertures de fenêtres intempestives.
De fausses barres du moteur propagées à partir de services de messagerie instantanée visent à récupérer les numéros de cartes bancaires.

Les faux anti-virus

Lors de votre navigation, il se peut qu'une fenêtre non sollicitée apparaisse en vous indiquant qu'un virus a été détecté et qu'une analyse antivirale avec un anti-virus en ligne est nécessaire. Le but du pirate est ici de voler des informations en installant un Cheval De Troie.

Important

Attention donc à ne jamais communiquer vos informations personnelles par mail, fax ou SMS, ni d'une quelconque autre manière.
Si vous avez communiqué votre identifiant et mot de passe d’accès à la banque en ligne, modifiez immédiatement votre mot de passe en vous connectant à votre banque en ligne.
Si vous avez communiqué vos informations de cartes bancaires (numéro de carte, code pin, date d’expiration, cryptogramme ou code à 3 chiffres), faites opposition à votre carte bancaire le plus rapidement possible.

onlib
Inscrivez-vous à notre newsletter
dédiée à toutes les professions libérales
Je m'abonne