devpops.ch

Pièges du “Phishing”, les reconnaître

Les pièges du “Phishing” les reconnaître et éviter le vol et l’arnaque. Nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est.

Les pièges du "Phishing" les reconnaître

Nous communiquons par e-mail, nous effectuons nos paiements en ligne, nous revendons nos objets sur Internet. Pour utiliser tous ces services, nous devons à chaque fois divulguer certaines données personnelles. Une aubaine pour les escrocs qui vont tenter de nous les soustraire en utilisant pléthore d’astuces.

Reconnaître les pièges du phishing et éviter le vol et l’arnaque. Nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. 

Phishing ? C'est quoi ?

Le terme Phishing est une contraction des mots anglais password (mot de passe), harvesting (moisson) et fishing (pêche). Il s’agit d’une technique d’escroquerie, aussi appelée hameçonnage, est l’une des arnaques les plus anciennes et les plus connues d’Internet. Cette technique d’escroquerie est apparue en 2005 et n’a depuis cessé d’évoluer pour se perfectionner.

Le phishing est généralement réalisée par courrier électronique -bien que ce type d’attaque englobe aussi les appels téléphoniques (qu’on appelle le “vishing“), les médias sociaux, les services de messagerie (alias “smishing“)- consistant à tromper la cible, reposant sur une usurpation d’identité, pour qu’elle fasse ce que l’escroc veut, récupérer vos données personnelles, (mot de passe, numéro de carte bancaire …)
Le hameçonnage est également une méthode populaire pour les cyber-attaquants de livrer des logiciels malveillants, en encourageant les victimes à télécharger un document ou à visiter un lien qui installera secrètement la charge utile malveillante (malware, cheval de Troie, ransomware….) On estime qu’en moyenne 1,4 million de ces sites web sont créés chaque mois. 

En résumé, le cybercriminel va à la « pêche » (fishing en anglais) avec un « appât » séduisant afin de « faire mordre à l’hameçon » ses victimes dans le vaste « océan » qu’est Internet.

Systèmes de gestion de version. Git-Github-GitLab ou GitKaken sont des outils pratiques pour partager un projet en développement mais pas que.

Enfin, nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. Reconnaître les pièges du phishing et éviter le vol et l’arnaque.

Donc, nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. Reconnaître les pièges du phishing et éviter le vol et l’arnaque.

Brève historique du Phishing

Les pièges du "Phishing" les reconnaître

Photo by Olia Nayda on Unsplash

Certains pensent que le l’origine et même la définition du terme phishing découlerait de pirates, qui dans les années 70, s’adonnait à utiliser des piratages grossiers pour exploiter le système téléphonique. Ces pirates des premiers jours étaient appelés des « phreaks (pirates téléphoniques) », une combinaison des termes « phone » (téléphone) et « freaks » (fous). C’était une pratique répandue pour passer des appels longue distance ou pour trouver des numéros non répertoriés.

Même avant que le terme de phishing  ne se répande, une technique d’hameçonnage a été décrite en détails dans un article et une conférence donnée au cours du 1987 International HP Users Group, Interex.

L’utilisation du terme lui-même a été attribué pour la première fois à un spammer et hacker célèbre dans les années 90, Khan C Smith. De plus, selon les archives Internet, la première fois où l’hameçonnage a été utilisé et enregistré date du 2 janvier 1996.

À partir des années 2000, l’hameçonnage s’est tourné vers l’exploitation des systèmes de paiement en ligne. Il est devenu courant pour les hameçonneurs de cibler les clients des services bancaires ou de paiement en ligne.

À partir du milieu des années 2000, des logiciels d’hameçonnage clé en main étaient disponibles sur le marché noir. Au même moment, des groupes de pirates informatiques ont commencé à s’organiser pour orchestrer des campagnes d’hameçonnage sophistiquées.

En 2011, l’hameçonnage a été soutenu par des États lorsqu’une campagne par hameçonnage chinoise a ciblé les comptes Gmail de hauts dirigeants des gouvernements et de l’armée américains et sud-coréens, ainsi que des activistes politiques chinoises.

Encore plus tristement célèbre fut la campagne d’hameçonnage lancée par Fancy Bear (un groupe de cyber-espionnage associé au Service de renseignements militaires russe) contre des adresses e-mail associées au Comité national démocrate au cours du premier trimestre 2016. En particulier, le responsable de campagne d’Hillary Clinton pour l’élection présidentielle de 2016.

En 2017, une énorme escroquerie par hameçonnage a amené les services comptabilité de Google et Facebook à transférer de l’argent, soit un total de plus de 100 millions de dollars, vers des comptes bancaires à l’étranger sous le contrôle d’un hacker.

Tout récemment en 2021, un nouveau kit  LogoKit, a été repéré sur plus de 700 domaines. cet outil  permet de créer des pages de phishing en temps réel, en fonction de la cible.

 Reconnaître les pièges du phishing et éviter le vol et l’arnaque. Nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est.

Démasquer les mails d'hameçonnage

Reconnaître une attaque par hameçonnage n’est pas toujours simple, mais quelques conseils, un peu de discipline et du bon sens devraient suffire. Recherchez quelque chose d’étrange ou d’inhabituel.
Demandez-vous si le message « sonne vrai ». Faites confiance à votre intuition, mais ne vous laissez pas tétaniser par la peur. Les attaques d’hameçonnage utilisent souvent la peur pour altérer votre jugement.

Chose essentielle à savoir, jamais une banque, un fournisseur d’accès Internet ou un quelconque site marchand ne vous demandera votre mot de passe, numéro de carte bancaire ou toute autre donnée vous concernant.
Un courrier électronique vous demandant ces informations, aussi alarmiste soit-il, est à coup sûr une tentative de phishing.

"Phishing" et amorçage

Technology photo created by freepik

Petite astuce: Si vous recevez un courriel que vous soupçonnez être du phishing, placez, sans cliquez, le curseur de votre souris sur le lien présent dans le mail. Son adresse s’affichera alors. Si vous constatez qu’elle débute par un nom de domaine inconnu, c’est un piège !

Quelques signes de tentative d'hameçonnage:

  • L’e-mail fait une offre qui semble trop belle pour être vraie. Il peut mentionner que vous avez gagné au loto, un prix de valeur ou un article incroyable.  
  • Vous reconnaissez l’expéditeur mais c’est quelqu’un avec qui vous ne communiquez pas habituellement. Il en va de même si vous êtes en copie d’un e-mail adressé à des personnes que vous ne connaissez même pas, ou peut-être à un groupe de collègues sans lien logique.
  • Le message semble délirant. Méfiez-vous si l’e-mail utilise un langage anxiogène ou alarmiste pour créer un sentiment d’urgence, vous exhortant à cliquer et à « agir maintenant » avant que votre compte ne soit clôturé. Gardez en tête que, les organisations responsables ne demandent pas d’informations personnelles sur Internet.
  • Le message contient des pièces jointes inattendues ou inhabituelles. Ces pièces jointes peuvent contenir des malwares, des ransomwares ou une autre menace en ligne.
  • Le message contient un lien étrange.

Conseils avant de paranoïer :

Même si votre 6e sens ne vous dit rien au sujet de toutes les informations précédentes, ne faites pas aveuglément confiance aux liens intégrés. Au lieu de cela, survolez le lien avec votre curseur pour voir la véritable URL.

Si vous suspectez qu’un e-mail n’est pas légitime, extrayez un nom ou un morceau de texte du message et copiez-le dans un moteur de recherche pour savoir si des attaques par hameçonnage connues existent et utilisent les mêmes méthodes.

Soyez particulièrement attentif aux fautes d’orthographe sur un site qui vous est familier, parce que ces fautes signifient qu’il est faux.

Il est toujours préférable de saisir directement une URL plutôt que de cliquer sur le lien intégré.

Ne répondez jamais à ce genre de courriels.

Ainsi, nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. Reconnaître les pièges du phishing et éviter le vol et l’arnaque.

Que faire d'un e-mails de phishing ?

Si vous avez identifié un e-mail comme étant frauduleux, ou du moins si vous le supposez, vous pouvez le transmettre aux deux services suivants.  Et contribuer à réduire le nombre d’e-mails d’hameçonnage qui atterrissent dans les boîtes de réception:

  • Votre fournisseur de messagerie: l’adresse correspondante est souvent «abuse@» ou «spam@», complétée par le nom de domaine du fournisseur, par exemple spamreport@bluewin.ch 
  • Le site antiphishing de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) du Conseil fédéral.

Détruisez systématiquement tout message douteux…. sans oublier de vider votre corbeille

"Phishing" les reconnaître

Man photo created by standret sur freepik

Et si j'ai divulgué des informations ?

  • Modifiez immédiatement les mots de passe divulgués et assurez-vous que les nouveaux sont sûrs, par ailleurs nous vous conseillons fortement d’utiliser un gestionnaire de mots de passe.
  • Si vous avez divulgué des données confidentielles, contactez immédiatement le prestataire concerné (établissement financier, fournisseur d’accès ou service de messagerie électronique). Expliquez votre situation pour recouvrer le contrôle de vos données.
  • Surveillez vos mouvements bancaires et en cas de mouvement frauduleux contestez l’opération auprès de votre banque.
  • Comme précédemment avisez-en MELANI avec ce lien.

Nous communiquons par e-mail, nous effectuons nos paiements en ligne, nous revendons nos objets sur Internet. Pour utiliser tous ces services, nous devons à chaque fois divulguer certaines données personnelles. Une aubaine pour les escrocs qui vont tenter de nous les soustraire en utilisant pléthore d’astuces.

De plus, nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. Reconnaître les pièges du phishing et éviter le vol et l’arnaque.

Un exemple de phishing détaillé

Tout commence avec un e-mail
Les couleurs, le logo, la mise en forme, tout est identique a un véritable message de Paypal.
Regardez attentivement l'entête
Vous remarquerez que l’adresse email de l’expéditeur n’est pas une adresse Paypal. C’est un indice très important.
Le piège est dans le contenu du message
Utiliser un texte anxiogène parlant (ironiquement) de sécurité, avec un sentiment d'urgence fait baisser la garde.
Dernière possibilité de tout annuler
Au click on est redirigé vers un lien non sécurisé et avec un faux domaine paypai et non pas paypal).
La mal est fait...
A partir de là vos identifiants et mot de passe ont été volés, et ce n'est que le début !
Passons aux choses sérieuses
La meilleure façon de vous maintenir sous pression est de simuler un problème avec votre compte.
Et si vous donniez plus d'informations personnelles ?
Vos données pourront ainsi être vendues, ou votre identité volée, mais ce n'est pas l'objectif principal...
Ca y est, on accède aux données de votre carte
Cette page comme les autres sont des copies parfaites du site original, les cadenas ne sont là que pour rassurer !
Mais pourquoi s'arrêter là ?
Vous donnez ainsi vos données bancaires, et en plus on peut vérifier si vous recyclez vos mots de passe ou pas.
On arrive à la fin du processus
Cette page ne s'affichera que quelques secondes afin que vous ne puissiez cliquer sur un des boutons.
Comme si de rien était
Vous êtes redirigé vers la page officielle comme vous le constatez sur l'adresse, ni vu ni connu...
Précédent
Suivant

Afin de nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. Reconnaître les pièges du phishing et éviter le vol et l’arnaque.

Que diriez-vous de finir par un petit quiz ?

Testez vos connaissances sur l'hameçonnage

Vous avez tout assimilé ? Vous pensez repérer les tentatives d'hameçonnage ? Alors ce quiz est fait pour vous...

regardez l'adresse

1 / 8

Ce mail est-il légitime ?

orthographe

2 / 8

Que pensez-vous de cette quittance d'achat ?

3 / 8

Et ce SMS, alors ?

4 / 8

Et cette réponse de modification de mot de passe ?

il y a un o intrus

5 / 8

Que penser de ce résultat de recherche Internet ?

6 / 8

Ce commentaire sur Fecebook vous paraît-il bon ?

7 / 8

Cette demande de renouvellement Infomaniak est ?

8 / 8

Que pensez-vous de cette facture Swisscom ?

Nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. Reconnaître les pièges du phishing et éviter le vol et l’arnaque.

Par conséquent, reconnaître les pièges du phishing et éviter le vol et l’arnaque. Nous sommes vulnérable sur Internet : données personnelles, comptes, tout y est. 

Laisser un commentaire

%d blogueurs aiment cette page :