Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

:: Prévention ::

:: Recherches ::

4 juillet 2005 1 04 /07 /juillet /2005 00:00

:: Définition ::

Dans le domaine des arnaques numériques, Cyberpolice se devait de traiter, après le Scam 419 (voir l'article « Scam 419 ou l'arnaque nigériane : toujours en vigueur » du 1er mai derner), la question du « phishing ».

Ce néologisme anglais est le résultat de la fusion des termes « fishing » (pêche en français) et « phreaking » (autrement dit, le piratage des lignes téléphoniques).  Ce mot est traduit par « hameçonnage », mais il est peu usité.

Le « phishing » est une technique illégale consistant à récupérer des informations sensibles (notamment bancaires) auprès d'internautes. Etourdis ou non attentionnés, ces derniers pourront ainsi mordre à l'hameçon et révéler de bonne foi leurs numéros de compte bancaires et autres codes d'accès. Il ne restera alors plus au « phisher » qu'à utiliser ces éléments pour vider les caisses...

Il s'agit bien d'une escroquerie, qui, à la différence du « hacking », exploite une faille psychologique humaine. Le « phisher » ne s'attaquera à aucun moment à un site internet ou au réseau informatique.


:: Mode d'emploi ::

Pour récolter des éléments utiles, l'escroc envoie un message électronique à des dizaines de milliers d'internautes, choisis de façon aléatoire. Parmi ces destinataires, certains feront preuve, malheureusement, d'une grande naïveté.

Le message d'information consiste à avertir le « pigeon » que, suite à des problèmes techniques, il doit transmettre ses codes d'accès et numéros de compte. En cliquant sur le lien fourni dans le mail, l'internaute arrivera sur un site web reprenant exactement l'interface graphique de sa banque.

Cette arnaque est de plus en plus fréquente. Il est donc primordial de rester attentif aux messages vous demandant des informations sensibles.


:: Banques et sites commerciaux, victimes de phishing ::

Une vaste opération de « phishing » a récemment été menée au nom de la Banque de France, utilisant également son logotype.

C'est pourquoi, dès le 20 juin dernier, l'institution bancaire a diffusé la mise en garde suivante :

La Banque de France voit son nom et son logo utilisés sans son accord dans un courrier électronique vantant un « nouveau système de paiement par Internet » où elle est citée comme partenaire. La Banque de France ne connaît pas ce système appelé "Global Private Banking" et n’a rien à voir avec lui. Aucun crédit ne doit être accordé à ce courrier reçu par de nombreux internautes français, et qui cherche visiblement à les abuser.

Des faux messages ont aussi été envoyés à l'attention des clients (dont les adresses électroniques ont toujours été collectées au hasard) d'autres grandes banques françaises telles que Société générale, BNP-Paribas, CIC, CCF...

Si les organismes bancaires cités sont touchés par ce phénomène, c'est surtout en terme communicationnel. La véritable victime dans cette histoire reste l'internaute-client crédule.

Le phishing ne concerne pas seulement les banques, mais plus généralement le commerce électronique. Ainsi, les clients de sites commerciaux sont également des proies idéales.

Il reste que la pêche est hasardeuse puisque le destinataire du message frauduleux n'est pas obligatoirement client de l'organisme cité.


:: La pêche peut être bonne... ::

Si elle est hasardeuse, la pêche peut toutefois être bonne.

Ainsi, selon l'Australian Securities and Investments Commission (ASIC), le nombre de plaintes déposées, en Australie, relatives à l'hameçonnage en avril et mai 2005 a doublé  par rapport aux deux mois précédents. Par ailleurs, au regard des statistiques, le phénomène est principalement en vogue dans l'ensemble des pays membres du G-8.

Une opération de « phishing », menée depuis le Brésil en 2004, a permis de récolter près de 30 millions de dollars.


:: Des interpellations et arrestations en masse ::

Cette même opération frauduleuse brésilienne a conduit à l'arrestation, en octobre 2004, d'une cinquantaine de co-auteurs et complices présumés.

Plus récemment, le 14 avril dernier, une autre histoire d'arnaque financière sur Internet a été démantelée par les services de police colombiens : l'escroc, pris en flagrant délit de « phishing » dans un cybercafé de Bogota, avait détourné en moins d'un an, 435 000 dollars. Son arrestation faisait suite à l'interpellation de 12 de ses complices.

En France, en matière d'escroquerie en ligne (notamment l'utilisation frauduleuse d'un  numéro de carte de paiement sur internet), les dispositions de l'article 313-1 du Code pénal prévoient 5 ans d'emprisonnement et 375 000 euros d'amende.


:: Se protéger du « phishing » ::

Lors de la réception d'un message provenant d'une banque ou d'un site de commerce électronique, suivez ces quelques conseils :

- Vérifiez que l'adresse donnée correspond bien exactement celle de votre banque.
- Méfiez-vous des messages électroniques vous demandant des informations bancaires. Il est particulièrement douteux que votre agence souhaite obtenir par ce biais des renseignements particuliers. N'hésitez surtout pas à contacter votre agence par téléphone afin de vérifier la véracité de la demande !
- Vérifiez que le navigateur utilisé pour transmettre les informations est sécurisé.

 

Partager cet article

Repost 0
Published by Cyberpolice - dans Cybercriminalité
commenter cet article

commentaires

:: Actualités ::