Le phishing est une forme de tromperie conçue pour voler vos données personnelles de valeur (comme votre numéro de carte de crédit), vos identifiants Windows Live, vos autres données de compte et mots de passe, etc.
Les arnaques de phishing peuvent se trouver :
• Dans des messages électroniques, même s'ils semblent provenir d'un collègue ou d'une personne que vous connaissez.
• Sur votre site Web de réseaux d'amis.
• Sur un faux site Web qui accepte les dons.
• Sur les sites Web qui imitent les sites dont vous avez l'habitude en modifiant légèrement les adresses Web, gageant que vous ne remarquerez pas la différence.
• Dans votre programme de messagerie instantanée.
• Sur votre téléphone portable ou tout autre appareil mobile.
Il n'est pas rare que les arnaques de phishing placent des liens dans des messages électroniques, sur des sites Web ou dans des messages instantanés qui semblent provenir d'un service de confiance comme votre banque, une société de crédit ou un site de réseaux d'amis.
Comment reconnaître une arnaque de phishing ?Les messages électroniques de phishing peuvent prendre toutes sortes de formes. Ils peuvent sembler provenir de votre banque ou d'une institution financière, d'une société commerciale que vous connaissez bien, comme Microsoft, ou de votre site de réseaux d'amis.
Aux États-Unis, les récentes fusions de banques ont offert de nouvelles perspectives aux escrocs. Pour plus d'informations, lisez l'article
Federal Trade Commission (FTC) - Alerte aux consommateurs : Faillites, fusions et rachats des banques : attention aux arnaques de phishing (en anglais).
Le spear phishing est une forme ciblée de phishing consistant à envoyer un message électronique qui semble provenir de votre employeur ou d'un collègue qui aurait envoyé un message général à tout le personnel de votre entreprise, comme le directeur des ressources humaines ou du département informatique. Pour plus de détails, consultez l'article
Spear phishing : des arnaques très ciblées.
Il n'est pas rare qu'un message de phishing contienne des logos officiels et autres informations d'identification directement récupérés sur les sites Web légitimes. Il peut même inclure des détails réels sur vos données personnelles que les escrocs auront récupérés sur les pages de votre réseau d'amis.
Tous les messages électroniques de phishing ont en commun le fait qu'ils vous demandent d'entrer vos données personnelles ou qu'ils vous dirigent vers des sites Web ou des numéros de téléphone vous incitant à communiquer vos données personnelles.
Voici un exemple de message Ă©lectronique qui cache une arnaque de phishing.
Pour rendre ces messages électroniques de phishing encore plus légitimes, les escrocs peuvent y placer un lien semblant mener à un site Web légitime (1), mais qui, en réalité, vous oriente vers un site frauduleux (2), voire vers une fenêtre contextuelle en tous points identique au site officiel.
Vous trouverez ci-dessous quelques exemples de phrases susceptibles de vous aider à déterminer si un e-mail est un phishing.
« Vérifiez votre compte. »Aucune entreprise ne vous demandera de transmettre vos mots de passe, identifiants de connexion, numéros de sécurité sociale ou toute autre donnée personnelle par e-mail.
Si vous recevez un message électronique de Microsoft vous demandant de mettre vos informations de carte de crédit à jour, n'y répondez pas : il s'agit d''une arnaque de phishing.
« Vous avez gagné à la loterie. »Cette arnaque à la loterie est une arnaque de phishing très répandue appelée «
fraude aux avances sur commission ». La forme la plus répandue de ce type d'arnaque est un message électronique annonçant le gain d'une forte somme d'argent ou le paiement d'une forte somme en rétribution d'une aide ou d'un service. Cette arnaque à la loterie fait souvent référence à de grandes sociétés telles que Microsoft. Il n'existe pas de loterie Microsoft.
« Si vous ne répondez pas sous 48 heures, votre compte sera clôturé. »Ces courriers électroniques sont empreints d'une tonalité urgente destinée à vous faire réagir immédiatement, sans réfléchir. Un message électronique de phishing peut même vous informer que votre réponse est nécessaire car la sécurité de votre compte a peut-être été compromise.
A quoi ressemble un site Web ou un lien de phishing ?Ces faux sites Web sont également appelés sites Web
factices. Ils ressemblent au site légitime et s'appuient souvent sur sa charte graphique. Leur adresse Web peut même être très proche de celle du site Web que vous avez l'habitude de consulter. (Pour plus de détails, consultez l'article
Les typos peuvent vous coûter cher).
Une fois sur l'un de ces sites factices, vous risquez d'envoyer à votre insu des données personnelles aux escrocs. Si vous saisissez vos noms de connexion, mot de passe ou toute autre donnée sensible, un criminel pourra utiliser ces informations pour usurper votre identité.
Voici un exemple de phrase que vous pouvez rencontrer dans un message Ă©lectronique vous dirigeant vers un site Web de phishing :
« Cliquez sur le lien ci-dessous pour accéder à votre compte. » Les messages au format HTML peuvent contenir des liens ou des formulaires à remplir comme sur un site Web.
Les liens de phishing vous incitant à cliquer dans des messages électroniques, sur des sites Web ou même dans des messages instantanés peuvent contenir tout ou partie du nom d'une entreprise réelle et sont généralement
masqués, autrement dit, le lien que vous visualisez ne vous renvoie pas vers cette adresse mais vers un autre endroit, en général, un site Web illégitime.
Notez, dans l'exemple suivant, que le fait de laisser le pointeur de la souris (sans cliquer) sur le lien permet de visualiser l'adresse Web véritable, telle qu'elle apparaît dans la zone sur fond jaune. L'énigmatique chaîne de nombres que contient le lien ne ressemble en rien à l'adresse Web de l'entreprise, ce qui là aussi, est particulièrement suspect.
Une autre technique communément utilisée par les escrocs en ligne consiste à employer une adresse Web qui, au premier abord, semble en tous points identique à celle d'une entreprise établie, mais qui présente malgré tout de subtiles différences : ajout, omission ou transposition de lettres. Voici, par exemple, comment pourrait apparaître l'adresse «
www.microsoft.com » :
www.micosoft.com
www.mircosoft.com
www.
verify-microsoft.com
Puis-je me protéger des arnaques de phishing ?Mettez à jour votre système d'exploitation et installez des logiciels antivirus et anti-espion à jour.Votre premier niveau de défense contre les arnaques de phishing et autres logiciels ou escrocs malveillants consiste à sécuriser votre ordinateur.
Certains e-mails de phishing peuvent contenir des logiciels malveillants ou indésirables conçus pour pister vos activités ou simplement ralentir votre ordinateur. Testez les nouveaux services complets et antivirus tels que Windows Live OneCare. Pour mieux vous prémunir contre les logiciels espions et les logiciels indésirables, utilisez Windows Defender. Windows Defender est fourni avec Windows Vista et est disponible gratuitement avec Windows XP SP2.
Vous devez ensuite apprendre à détecter les techniques d'ingénierie sociale. Le nouveau système d'exploitation Windows Vista peut vous y aider :
• Internet Explorer 7 est disponible pour Windows Vista et intègre un Filtre anti-phishing capable de détecter les sites Web potentiellement dangereux et d'en avertir les utilisateurs.
• Le Contrôle parental Windows Vista fournit un contrôle parental pour les enfants afin de les empêcher de télécharger des logiciels indésirables.
• Windows Defender protège votre système contre les logiciels espions et tout autre logiciel malveillant déployés dans le cadre d'une arnaque d'ingénierie sociale.
• Le Contrôle des comptes utilisateur intégré à Windows Vista requiert votre accord avant d'autoriser l'exécution d'un programme potentiellement dangereux. Cela permet de limiter l'impact des virus, des logiciels espions et autres menaces que vous pouvez rencontrer via les réseaux sociaux.
Internet Explorer 7 et le Filtre anti-phishing de MicrosoftMême si vous n'utilisez pas Windows Vista, utilisez Internet Explorer 7 qui intègre le Filtre anti-phishing de Microsoft, capable de vous protéger contre les fraudes en ligne et les vols de données personnelles en vous prévenant ou en bloquant les sites Web de phishing connus. Pour plus de détails, consultez l'article
Comment obtenir le Filtre anti-phishing.
Dans Internet Explorer 7, vous bénéficiez d'une couche supplémentaire de protection lorsque vous visitez des sites avec certificats SSL de validation étendue. La barre d'adresse dans Internet Explorer passe au vert pour vous prévenir que des informations supplémentaires existent sur les sites Web. L'identité du propriétaire du site Web s'affiche également sur la barre d'adresses.
Un certificat SSL de validation étendue garantit non seulement que la communication avec un site Web est sécurisée, mais inclut également des informations sur le propriétaire du site Web qui a été identifié par l'autorité de certification émettrice du certificat SSL. Pour plus d'informations, reportez-vous à l'article
Internet Explorer et certificats SSL de validation Ă©tendue (en anglais).
