Comment se protéger contre le phishing

phishingComment se protéger contre le phishing sur internet

Dans le titre nous avons le mot phishing. Est-ce qu’il y a une relation avec la pêche? demandez vous. Eh bien, oui sauf qu’il ne s’agit pas d’aller au bord de rivière avec une canne à pêche. Il s’agit de pêcher les informations personnelles des internautes dans le but de voler ou de nuire ou tout simplement d’espionner ces derniers. En gros, c’est un technique utilisé par les pirates informatiques pour piéger les utilisateurs non avertis du web pour soutirer des informations personnelles tel que le mot de passe, le nom d’utilisateur etc. Les cibles de ces malfaiteurs sont bien évidement les banques, les site de e-commerce et les sites d’enchères en lignes comme ebay, paypal etc, récemment, les réseaux sociaux comme facebook, tweeter aussi sont visés.

Comme indiqué dans le titre, nous allons voir dans cet article des parades pour débusquer ces pièges. Comme on dit, il faut connaitre les méthodes utilisées par ses ennemis pour mieux les combattre. Donc pour suivre cette logique, nous allons d’abord voir la méthode la plus utilisée sur internet sachant que le phishing existe aussi au téléphone (pour information: par téléphone s’appelle SMiShing ).

La méthode le plus utilisée est l’envoie d’e-mail massivement vers des victimes potentielles, le but de ces e-mails sont plus souvent de déclencher une panique chez la victime de tel sorte qu’elle fasse ce que l’attaquant veut exactement qu’elle fasse (sans analyser la situation pour ne pas dire sans réfléchir). Dans ces genres d’e-mails, l’action demandée est de cliquer sur un lien (toujours). Ce lien vous envoie ensuite sur un site web piégé qui est une copie conforme qui du site officiel de l’organisation visée. Et sur le site, on vous demande de saisir vos informations personnelles. Nous allons prendre un scénario (un fait réel qui s’est produit en 2012) simple pour vous faire comprendre cette méthode.

Exemple: c’est un simple e-mail qui dis que vous avez reçu un nouveau message de votre banque.

PhishingCATR20120809_2_Mail600Quand on clique sur le lien « Accédez à vos comptes », on arrive sur un site qui ressemble à s’y méprendre au site internet de la banque en question. Ci dessous l’image du site piégé.

20131121_phishing_creditagricoleDonc pour lire le nouveau message, comme n’importe qui qui reçois un message de sa banque ;-), on entre les informations demandées. Dés que l’on clique sur le bouton « Confirmé », le pirate récupère les informations pour se connecter au compte bancaire de la pauvre victime.

C’est un scénario typique d’un hameçonnage sur internet.

Quelques parades pour identifier le phishing:

Éviter de paniquer, pour ne pas agir à chaud.

Lire attentivement le mail, souvent, ces genres d’e-mails sont bourrées de faute d’orthographe. Si vous en détectez, que c’est un phishing, ne cliquez pas sur le lien.

Un comportement à adopter avant d’accéder à un compte sensible est de toujours vérifier que la connexion est sécurisée, c’est vraiment simple, vérifiez toujours l’existence de « HTTPS » au début du lien et la présence d’un petit cadenas, si vous cliquez sur ce petit cadenas, vous pouvez voir l’organisme qui a vérifié l’authenticité et la sécurité du site (le plus souvent c’est « VeriSign, inc« ).

signatureVérifiez aussi le lien pour être sûre qu’il s’agit bien du bon site.

Dans notre exemple ci-dessous, il n’y a pas de faute d’orthographe. Par contre, quand on arrive sur le site, il n’y a pas le petit cadenas ni la mention « HTTPS » au début du lien en plus de cela, c’est littéralement du chinois le lien :xd.

phishing-creditagricoleLe plus simple:

Ne cliquez sur le lien dans l’e-mail, allez sur le comme avec la méthode que vous utilisée habituellement c’est à dire, entrez le lien directement ou par les moteurs de recherches comme yahoo, google etc.

Un geste tardive mais peux vous éviter le pire:

Si vous n’avez rien remarquez, vous avez entré les informations. Si vous êtes sûre d’avoir entrez les bonnes informations. Vous n’arriverez presque jamais à accéder à votre compte à partir de ce site. S’il s’agit de votre banque, contactez tout de suite votre banquier pour qu’il invalide votre mot de passe et vous en envoie un autre; s’il s’agit d’autre site, allez sur google ou par le moyen que vous utilisez habituellement pour vous connecter sur ce site et changez votre mot de passe.

Le geste citoyen du monde:

S’il concerne la banque, prévenez votre banquier en premier et puis prévenez vos amis, vos collègues, tweeter et « faceboockez » :p.

Et dernière piste, voici le genre de mail que vous recevrez de votre banque, il n’y a pas de lien.

email-de-bank

Comment signaler les tentatives d’escroquerie sur internet ?

Vous pouvez signaler ces escroqueries sur la plateforme « PHAROS » (pour « plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements »). Elle est accessible sur le site www.internet-signalement.gouv.fr. Cette plateforme permet notamment de signaler les sites internet dont le contenu est illicite.

Votre signalement sera traité par un service de police judiciaire spécialisé dans ces questions, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Les signalements sur la plateforme PHAROS sont, après vérification, orientés vers un service d’enquête. Une enquête pénale peut être ouverte, sous l’autorité du procureur de la République. PHAROS reçoit chaque année plusieurs dizaines de milliers de signalements.

Si le contenu signalé est illicite mais conçu à l’étranger, il est transmis à Interpol qui l’oriente vers les autorités judiciaires du pays concerné.

Laisser un commentaire