Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog

La sélection

Recherche Sur Le Blog

Gratuit aujourd'hui

21 janvier 2006 6 21 /01 /janvier /2006 00:30

Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.

La technique du phishing est une technique d'« ingénierie sociale » c'est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.

Le mail envoyé par ces pirates usurpe l'identité d'une entreprise (banque, site de commerce électronique, etc.) et les invite à se connecter en ligne par le biais d'un lien hypertexte et de metre à jour des informations les concernant dans un formulaire d'une page web factice, copie conforme du site original, en prétextant par exemple une mise à jour du service, une intervention du support technique, etc.

Dans la mesure où les adresses électroniques sont collectées au hasard sur Internet, le message a généralement peu de sens puisque l'internaute n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la quantité des messages envoyés il arrive que le destinataire soit effectivement client de la banque.

Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots de passe des internautes ou bien des données personnelles ou bancaires (numéro de client, numéro de compte en banque, etc.).

Grâce à ces données les pirates sont capables de transférer directement l'argent sur un autre compte ou bien d'obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles ainsi collectées.

 

Comment se protéger du phishing ?

Lorsque vous recevez un message provenant a priori d'un établissement bancaire ou d'un site de commerce électronique il est nécessaire de vous poser les questions suivantes :

  • Ai-je communiqué à cet établissement mon adresse de messagerie ?
  • Le courrier reçu possède-t-il des éléments personnalisés permettant d'identifier sa véracité (numéro de client, nom de l'agence, etc.) ?

Par ailleurs il est conseillé de suivre les conseils suivants :

  • Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'URL d'accès au service.
  • Méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Dans le doute contactez directement votre agence par téléphone !
  • Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affiché dans la barre d'état au bas de votre navigateur, et que le domaine du site dans l'adresse correspond bien à celui annoncé (gare à l'orthographe du domaine) !
  • protection et aussi Arovax Shield : protection en temps réel

Pour lutter contre le phishing, des technologies nouvelles sont nécessaires...

Une étude conduite par les universités Harvard et UC Berkeley a montré que les utilisateurs se faisaient facilement piéger par des sites de phishing et que la technologie actuelle était incapable de les alerter du danger.

Selon elle, la solution au problème ne passerait pas par davantage de développements centrés sur la technique mais par une meilleure prise en compte des capacités humaines. Certains utilisateurs manquent de connaissances basiques dans l'utilisation de leur ordinateur, la plupart ont une mauvaise connaissance des indicateurs de sécurité de leur navigateur web, mais des utilisateurs chevronnés peuvent aussi se laisser facilement piéger par des tromperies visuelles (notamment celles utilisant des ressemblances entre caractères dans un nom de domaine, les images affichant une URL et qui sont un lien vers une autre URL, images imitant les fenêtres de navigateur, fenêtres masquant la fenêtre sous-jacente).

Les auteurs proposent une solution, l'utilisation des "Dynamic Security Skins" qui permet à l'utilisateur de vérifier le site sur lequel va s'effectuer l'entrée des identifiant et mot de passe grâce à une image qu'il a choisie et donc qu'il connaît.

Ensuite, les pages provenant du serveur sur lequel l'identification a été faite seront visuellement facilement différenciables des autres (car elles contiendront un motif généré aléatoirement présenté en plus de l'image connue sur la fenêtre d'identification).

Le phishing compte parmi les problèmes de sécurité d'Internet les plus importants, ce qui conduit le Department of Homeland Security à financer des recherches et viser à un plus grand déploiement d'outils de lutte contre le phénomène.

source: futurascience


Phishing : la Coupe du monde de football est la cible des pirates
La Coupe du monde de football suscite déjà l’enthousiasme des amateurs du ballon rond, mais aussi celui des pirates informatiques. En effet, l’entreprise SurfControl, spécialisée dans la sécurité, vient d’avertir ses utilisateurs sud-américains que l’événement de la FIFA est la cible d'attaques par phishing et spyware.

La Coupe du monde de football est la cible des pirates informatiques
(Crédits : CORDIS)

Si vous êtes résident sud-américain et que vous recevez un courriel émanant de MasterCard, vous proposant des séjours en Allemagne et des billets gratuits pour les grands matchs de la Coupe du monde de football 2006, ne croyez pas être un amateur de football verni. En réalité, vous êtes juste la cible de pirates, qui comptent bien vous dérober des informations confidentielles, et mériteraient bien, pour cela, le carton rouge du manque de fair-play.

Après vous avoir annoncé la bonne nouvelle – vous allez peut-être gagner des billets d’avions ou des places pour la Coupe, les pirates vous invitent à participer à une grande loterie, en cliquant simplement sur un lien. Si vous vous laissez abuser et suivez leurs instructions, vous téléchargerez un keylogger, un logiciel qui enregistrera les données confidentielles que vous serez amené à taper sur votre clavier, comme votre numéro de carte bancaire ou votre code d’accès à une banque en ligne.

Mais le méfait ne s’arrête pas là. Le petit logiciel est associé à une manœuvre de phishing, qui génère des sites miroirs des principales banques en ligne brésiliennes (bradesco.com.br, itau.com.br, unibanco.com.br, bancoreal.com.br, caixa.gov.br), et attend que vous entriez votre mot de passe pour le transmettre aux malfaiteurs.

Les pirates sont prêts à tout pour obtenir vos informations bancaires, alors gare à la simulation si vous ne souhaitez pas vous voir décerner le carton jaune de l’internaute imprudent !

source Futura-Sciences


voir aussi:  Les spywares, une menace bien réelle sur Internet

Partager cet article

commentaires