Comment repérer le vrai du faux? Regarder l’adresse de destination sur le lien paypal…

• Phishing au Credit Lyonnais
• Marques et blogs: terrain glissant
• Phishing bancaire ou pêche au gros
• Adwords : eBay retire ses liens de Google
• Augmentation du Phishing bancaire en France

Le processus est classique: un email a été envoyé en masse aux internautes afin d’inviter les clients du Credit Lyonnais à s’identifier sur un prétexte bidon, dans ce cas de se connecter au “nouveau système de sécurité”.

Notons que le Credit Lyonnais à déjà publié des informations à destination de ses clients pour la prévention contre ce type de fraude, ce qui est plutôt courageux: mieux vaut prévenir que guérir. Le fait est que bon nombre de banques hésitent à expliquer à leurs clients qu’ils peuvent être victimes de fraudes pour ne pas les effrayer, au grand bonheur des phishers!

• Monster attaqué par un usurpateur
• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone
• 76 personnes arrêtées pour avoir organisé un réseau de fraude au phishing
• Phishing bancaire ou pêche au gros
• Protéger sa marque des noms de domaine “JeBoycotteVotreMarque.com”

Ce terme désigne l’obtention d’informations confidentielles, comme les mots de passe ou d’autres informations privées, en se faisant passer auprès des victimes pour quelqu’un digne de confiance ayant un réel besoin de l’information demandée. C’est une forme d’attaque de type ingénierie sociale (source: http://fr.wikipedia.org/wiki/Hame%C3%A7onnage).

Hameçonnage (Phishing) et usurpation d’identité : une menace en constante progression

Le plus souvent, le client sera contacté via un e-mail spam apparemment authentique, reproduisant fidèlement la charte graphique d’une institution financière ou d’un site commercial connu (logo, typographie, slogans, vocabulaire), et comprenant un lien vers un site web. Dans cet e-mail il est demandé au destinataire de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur le lien menant vers le faux site Web, copie conforme du site de l’institution ou de l’entreprise. Le pirate y récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage.

Pour gagner du temps et réaliser son méfais, le pirate ruse en signalant à l’utilisateur que les informations fournies doivent être vérifiées et que son compte ne sera pas accessible pendant quelques heures ou 24h. Ce genre d’attaques ne cesse de se développer. Le nombre de ces attaques doublerait chaque mois, et elles auraient déjà piégé plus de 2 millions de personnes aux Etats-Unis. Avec un taux de réussite moyen des fraudes atteignant 1,400 dollars US, l’industrie des fraudes par e-mail pèse désormais 5 milliards de dollars ! (Anti-Phishing Working Group 2004).

Les experts en phishing ont récemment constaté une tendance à la sophistication de ces arnaques, avec la détection d’une nouvelle fraude consistant à envoyer un e-mail anodin, qui lorsqu’il est ouvert, libère un virus sur l’ordinateur de la victime. Le virus est programmé pour inscrire de fausses redirections sur l’ordinateur. Par la suite, lorsque la victime essaye de se connecter au site de sa banque, celle-ci est redirigée automatiquement vers le site Web criminel. Une fois sur le site, la victime agit en toute confiance et fournit ses codes et autres données personnelles, pensant qu’elle se trouve sur le site légitime de sa banque.

Suite à l’accumulation de mauvaises expériences pour un certain nombre d’institutions financières et de banques dans le monde (informations au sujet du phishing et des dernières alertes sur le site : http://www.fraudwatchinternational.com/fraud_alerts/alerts.htm).

• 76 personnes arrêtées pour avoir organisé un réseau de fraude au phishing
• Les "hoaxes", ou canulars du web
• Le phishing en chiffres
• Phishing au Credit Lyonnais
• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone