Notre veille

Article

Phishing bancaire ou pêche au gros

Article

Les moyens les plus usités par les criminels d’Internet pour attaquer les banques sont l’hameçonnage, l’usurpation d’identité et la violation de marque. Le hameçonnage (en anglais, phishing est un raccourci de l’expression password harvesting fishing, soit pêche aux mots de passe.

Ce terme désigne l’obtention d’informations confidentielles, comme les mots de passe ou d’autres informations privées, en se faisant passer auprès des victimes pour quelqu’un digne de confiance ayant un réel besoin de l’information demandée. C’est une forme d’attaque de type ingénierie sociale (source: http://fr.wikipedia.org/wiki/Hame%C3%A7onnage).

Hameçonnage (Phishing) et usurpation d’identité : une menace en constante progression

Le plus souvent, le client sera contacté via un e-mail spam apparemment authentique, reproduisant fidèlement la charte graphique d’une institution financière ou d’un site commercial connu (logo, typographie, slogans, vocabulaire), et comprenant un lien vers un site web. Dans cet e-mail il est demandé au destinataire de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur le lien menant vers le faux site Web, copie conforme du site de l’institution ou de l’entreprise. Le pirate y récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage.

Pour gagner du temps et réaliser son méfais, le pirate ruse en signalant à l’utilisateur que les informations fournies doivent être vérifiées et que son compte ne sera pas accessible pendant quelques heures ou 24h. Ce genre d’attaques ne cesse de se développer. Le nombre de ces attaques doublerait chaque mois, et elles auraient déjà piégé plus de 2 millions de personnes aux Etats-Unis. Avec un taux de réussite moyen des fraudes atteignant 1,400 dollars US, l’industrie des fraudes par e-mail pèse désormais 5 milliards de dollars ! (Anti-Phishing Working Group 2004).

Les experts en phishing ont récemment constaté une tendance à la sophistication de ces arnaques, avec la détection d’une nouvelle fraude consistant à envoyer un e-mail anodin, qui lorsqu’il est ouvert, libère un virus sur l’ordinateur de la victime. Le virus est programmé pour inscrire de fausses redirections sur l’ordinateur. Par la suite, lorsque la victime essaye de se connecter au site de sa banque, celle-ci est redirigée automatiquement vers le site Web criminel. Une fois sur le site, la victime agit en toute confiance et fournit ses codes et autres données personnelles, pensant qu’elle se trouve sur le site légitime de sa banque.

Suite à l’accumulation de mauvaises expériences pour un certain nombre d’institutions financières et de banques dans le monde (informations au sujet du phishing et des dernières alertes sur le site : http://www.fraudwatchinternational.com/fraud_alerts/alerts.htm).

Chargement