Le Phishing,  comment cela fonctionne ?

L’hameçonnage (l’anglicisme phishing étant couramment utilisé) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d'identité, date de naissance, etc. Wikipédia.

Les escroqueries par « phishing » envoient des courriels qui imitent, plus ou moins bien, des entités officielles comme les banques, les ressources en ligne et les sociétés de cartes de crédit pour inciter les destinataires à partager leurs informations financières et personnelles ou à télécharger des logiciels malveillants…

Les cibles peuvent être dirigées vers des sites Web malveillants imitant les sites légitimes où il leur sera demandé d'entrer des informations de connexion et d'autres informations personnelles que les attaquants peuvent utiliser pour commettre un vol d'identité.

Les e-mails de phishing ou des SMS peuvent sembler provenir d'une entreprise connue, que vous connaissez ou en qui vous avez confiance.

Les e-mails de phishing et les messages texte racontent souvent une histoire pour vous inciter à cliquer sur un lien ou à ouvrir une pièce jointe. Ils peuvent:

  • « Nous avons remarqué une activité suspecte ou des tentatives de connexion à votre compte »
  • « Il y a un problème avec votre compte ou vos informations de paiement »
  • « Vous devez confirmer certaines informations personnelles »
  • « Vous envoyer un rappel pour une fausse facture »
  • « Vous demander de cliquer sur un lien pour effectuer un paiement »

… la liste est longue.

Que faire si vous soupçonnez une attaque de phishing

Si vous recevez un e-mail ou un SMS qui vous demande de cliquer sur un lien ou d'ouvrir une pièce jointe, répondez à cette question :

« Ai-je un compte auprès de l'entreprise ou est-ce que je connais cette personne ?"

Si la réponse est non, il est très simple d’ignorer et de passer à autre chose.

Mai si la réponse est oui, connectez vous à ce compte en utilisant le canal de connexion habituel, afin de vérifier directement sur le site si un message vous est destiné.

Dans tous les cas, ne cliquez pas sur le lien du mail.

Informations demandées par mails et envoyées.

Si vous recevez un e-mail ou un message vous demandant des informations personnelles ou financières, ne répondez pas et n'ouvrez pas le lien dans le message. Les entreprises ne demandent pas ces informations par e-mail.

N'envoyez pas d'informations personnelles ou financières par e-mail.

Le courrier électronique n'est pas une méthode sécurisée de transmission d'informations personnelles.

Si toutefois vous devez transmettre des informations de ce type par email, à un proche ou quelqu’un de confiance, dans le cadre d'un sinistre à déclarer auprès de votre assureur, par exemple...

Cela se fera dans le cadre d'un échange de mails où vous répondrez à une demande précise (initiée par vous) et dont le destinataire est connu.

Une fois cela fait : supprimez le mail et videz la corbeille ne laissez pas trainer de genre de message dans votre boite mails. Une boite mail n'est pas un lieu de stockage d'informations de sécurité.

Phishing par Facebook

Une attaque les plus plus répandues était celle à la demande de connexion en imitant la page Facebook, cette attaque se trouvait (il y a pas si longtemps) directement dans les liens de votre fils d'actualité Facebook. Le message était sensé vous faire croire à une déconnexion de votre compte en vous affichant la page de d'Inscription à Facebook.

Vous me direz, il y a mieux ... mais si comme beaucoup vous consultez Facebook sur votre smartphone, tard le soir ou dans un magasin en faisant vos courses... le contexte peut vous faire faire des bêtises.

Votre ordinateur ou smartphone, n'est pas comme nous ... il n’oublie pas les mots de passe.

 

Phishing par faceboook

Vol de votre mot passe Gmail, Facebook ou ... tous vos mots de passe...

Utilisez un mot de passe différent pour chaque compte !

Je ne le répéterai jamais assez, utilisez  un mots de passe différent pour chacun de vos comptes, du moins les comptes importants, opérateur téléphonique, banque (vous n'avez normalement plus le choix ... mais pourtant...) , administrations... Tous ces comptes, où se trouvent vos informations personnelles, bancaires etc... doivent avoir un mot de passe différent !

Comment se "faire avoir" et avoir des soucis plus complexes à gérer suite à un piratage.

Vous utilisez une adresse mail... et pour tous vos échanges, vous utilisez la même adresse.... c'est tellement plus simple... cette adresse, prenons pour exemple orange, se présente comme cela:

nom-prenom@orange.fr, cette adresse vous l'avez utilisée, depuis pas mal d'années et envoyée des centaines de fois, il est donc fort à parier qu'elle soit connue comme adresse "valide" et se trouve sur pas mal de listes officielles ou non... et cette adresse contient déjà une information: vous avez très probablement un compte chez orange !

Il est alors très simple de vous envoyer des mails vous demandant des informations sur votre compte ou faisant croire à un litige de facture chez votre opérateur... facile.

Mais, plus sournoisement... vous vous êtes fait voler votre adresse mail et mot de passe Facebook !

Et comme beaucoup de personnes, ce mail : est un mail d'opérateur téléphonique... et le mot de passe, et bien c'est le même que vous utilisez partout, chez orange, pour vos achats sur Amazon ... etc... Le pirate peut déjà essayer de vérifier si le mot de passe est valable chez votre opérateur. Normalement celui-ci doit vous avoir activé une authentication par téléphone... mais ce n'est pas le cas pour tout le monde...

Et si le pirate se connecte à votre compte orange... il peut avoir accès à beaucoup d'informations sur vous, ce que vous faites, où vous achetez en ligne... bref qui vous êtes ! Et il peut même devenir vous !

Et c'est là que les ennuis commencent, vous allez alors être victime d'un phishing plus personnalisé... nous verrons cela dans un autre article.

Pascal Bazzea - 31/05/2020