Le terme "phishing" viendrait de la contraction de "phone" et "fishing". Originellement le phishing c'est l'arnaque téléphonique qui consiste à se faire passer pour quelqu'un d'autre comme un policier ou un banquier pour tenter d'extirper des informations confidentielles. La pratique a ensuite été adaptée à Internet.
Le phishing est toujours basé sur l'attaque du plus grand nombre afin d'y trouver les moins informés, les plus crédules, et les mettre en confiance.
De nos jours, les criminels informatiques utilisent l'hameçonnage essentiellement pour le vol d'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles. Ces courriels redirigent les personnes qui les reçoivent vers une page Web qui semble faire partie de leur banque en ligne ou du site d'eBay, mais qui en usurpe l'interface et intercepte les informations confidentielles pour les transmettre au fraudeur.
Et c'est la grosse artillerie qui arrose par spam tout le monde, client ou pas de la banque en question, dans l'espoir de lever un petit pourcentage de crédules, les petits ruisseaux faisant les grandes rivières. Selon la "qualité" de l'attaque (qualité de reproduction du site légitime et quantité de spam envoyée), des estimations de 1% à 20% de réponses à ce type d'arnaque sont avancées, ce qui est énorme. Prenons 1 million de spammés (ce qui est courant) génèrant, au minimum, 10.000 victimes. En faisant 2 ou 3 microvirements n'éveillant pas les soupçons, par exemple 2 ou 3 fois 100 euros par compte (chiffre changeant constamment) envoyés sur une foule de comptes off-shore qui seront vidés et fermés dès le lendemain, ce sont 2 à 3 millions d'euros qui changent de mains en quelques heures.
Sur ces mails de phishing, tous les liens habituels sont en place, les vrais, ceux qui conduisent réellement à votre banque. Puis il y en a un, inhabituel, qui conduit à des pages piégées totalement identiques aux originales, où on va vous demander, sous un prétexte fallacieux, de vérifier toutes vos données personnelles, ou de les actualiser après une prétendue panne d'ordinateur, ou pour vérifier que vous êtes bien le gagnant d'un superbe cadeau. En réalité, aucune de ces pages ne provient des sites originaux. Elles se trouvent sur des sites totalement externes, n'importe où dans le monde et il est absolument impossible de mettre un nom ou une adresse sur les machines qui hébergent ces sites.
On est, une fois de plus, face au même maillon faible de la chaîne de sécurité des ordinateurs, des réseaux et d'Internet : l'homme.
Hormis la batterie classique de protection (antivirus, firewall, ...), les seules contre-mesures efficaces restent la méfiance, le bon sens et l'esprit critique. Posez-vous les bonnes questions. Jamais un établissement financier ne vous demandera quoi que ce soit par mail.
Il est possible, dans tous les navigateurs (Opera, Firefox, Netscape, Internet Explorer, ...) ainsi que dans les clients de messagerie utilisant ces navigateurs comme ressources, d'abuser un utilisateur peu attentif en masquant grossièrement la destination réelle d'un lien.
Ce n'est pas une faille de sécurité. Il s'agit d'écrire un commentaire lié à une page. Et ce commentaire à l'apparence d'un lien. Regardez bien le lien ci-dessous et, en passant le curseur de votre souris au-dessus, regardez ce qui s'affiche dans la barre d'état en bas à gauche de votre navigateur ou de votre client de messagerie. Ce n'est pas vraiment vers le site de la Banque Nationale que vous êtes dirigé (mais vers un de mes sites favoris).
Il suffit simplement de contrôler la barre d'état pour éviter les mauvaises surprises, me direz-vous ...
Ce n'est pas si simple. Les liens peuvent être écrits dans un script qui force l'affichage, dans la barre d'état du navigateur ou du client de messagerie, d'un lien forgé alors qu'en réalité ce sera vers un tout autre lien que vous serez dirigé.
Microsoft propose néanmoins un outil permettant de connaître l'URL réelle du site actuellement affiché :
Avertissement : Si vous appliquez cette procédure sur certains sites tels que les sites d'e-commerce, votre session actuellement affichée peut être perdue. Par exemple, le contenu d'un panier de courses en ligne peut être perdu et vous devrez le remplir à nouveau.
mykerinos.net 2007 | dernière mise à jour le 03.02.2007