Accueil   Internet : Les risques Internet : Les solutions Sécuriser mon ordinateur Sécurité et CA Questions Réponses Quiz Sécurité Lexique
 
 
Le phishing
Les mules
Le pharming
Le spam
Les canulars
Les virus
Les spyware
Les chevaux de Troie
Les informations transmises
Les informations que vous communiquez sans le savoir
Securiser son ordinateur
 
Le phishing
Le phishing vise à récolter des informations personnelles (codes confidentiels, etc). La méthode des pirates ? Faire croire qu'un organisme, une banque par exemple, a besoin de ces données.
Le phishing
 
 
Qu'est-ce que le phishing ?
Des exemples de phishing
Les autres formes de phishing
 
  Qu'est-ce que le phishing ?    
"Phishing" contraction des mots anglais « phreaking » (fraude informatique) et « fishing » (pêche) traduit parfois en "hameçonnage" ou "filoutage". Le but est d'attirer l'internaute vers un faux site (bancaire, de commerce électronique, etc.) en utilisant l'e-mail comme appât. Voici comment se déroule une "journée de pêche".
Vous recevez un e-mail...

...qui a l'apparence d'un véritable e-mail aux couleurs d'une société commerciale, comme une banque par exemple.

Qui vous demande d'effectuer une opération...

... comme vous connecter sur votre compte en ligne pour confirmer votre mot de passe, ou pour faire une mise à jour de vos données personnelles.

Sur un site identique à celui de votre banque...

... qui imite parfaitement son apparence, en général sous la forme de fausses pages de maintenance technique. Même l'adresse du site semble correcte.

On vous demande votre identifiant, votre mot de passe, votre numéro de carte bancaire, etc. On vous informe ensuite que tout s'est bien passé et que le problème est réglé. Vous êtes même remercié(e) sur la dernière page. En bref, pour vous, tout va bien.

Mais l'escroc a désormais tout loisir d'accéder à vos comptes...

... sur lesquels il est désormais en mesure d'effectuer, en toute "légitimité", toutes les opérations que vous êtes vous-même autorisé(e) à réaliser quand vous êtes connecté(e).


Certaines techniques utilisent des failles de sécurité dans les navigateurs Internet qui n'ont pas été mis à jour. Pour y remédier, suivez les conseils de la rubrique « Sécuriser mon ordinateur ». Veuillez répéter cette sécurisation au moins tous les trois mois.

Les e-mails ne sont pas sécurisés. En clair, tous vos e-mails peuvent être lus par quiconque se trouve sur le "chemin" reliant votre ordinateur à celui de votre correspondant. N'envoyez par e-mail aucune donnée confidentielle de type : mot de passe, coordonnées bancaires…
 
Le phishing
Acc?der ? la page Contact


  Pour en savoir plus, le site de référence (en anglais) : http://www.antiphishing.org


Si vous constatez une anomalie sur votre Cr?dit Agricole en ligne ou fil vert

Si vous avez re?u un e-mail ou vu un site qui imite un de ceux du Cr?dit Agricole

Envoyez un e-mail ? :

webmaster@ca-finistere.fr

Ou t?l?phonez ? la cellule d'assistance technique au 0 810 819 829* du lundi au samedi, de 8h00 ? 20h00 (18h00 le samedi).

Contactez votre conseiller(?re).

* N? Azur : prix d'un appel local depuis un poste fixe en France m?tropolitaine.


Je veux alerter
le Crédit Agricole
 
   
   
   
Retour haut-de-page
  Des exemples de phishing
    
90% des attaques par « phishing » concernent des établissements financiers (banques, etc.). Il y a quelques années, seules les banques anglo-saxones étaient la cible de ces attaques. Désormais tous les pays sont concernés et ni l'Europe ni la France n'y échappent.
Une menace plus présente que jamais

Selon l'APWG (Anti-Phishing Working Group), la menace du phishing a progressé de 52% de juin à septembre 2005. Le cabinet d'études Gartner estime à 2,4 millions le nombre total d'internautes américains pris dans le piège du phishing pour un total de 929 millions de dollars de pertes.

Les différentes formes du phishing

On distingue plusieurs types de phishing, les pirates trouvant chaque jour de nouvelles astuces pour tromper les internautes. Leur premier objectif : récupérer des fonds. Rien d'étonnant donc, si les escroqueries concernent souvent des services marchands et transactionnels en ligne.

Les faux e-mails de banques

Un des principes consiste à informer l'internaute que son compte risque d'être désactivé, que quelqu'un a essayé d'usurper son identité ou que de nouvelles mesures de sécurité sont mises en place.

C'est de loin le type de phishing le plus répandu, l'accès aux comptes en ligne permettant d'effectuer des virements.

Ce faux e-mail est reproduit à titre indicatif.

Les faux e-mails des sites marchands

Les grands sites de e-commerce, d'enchères ou de webmail sont également des cibles intéressantes car des numéros de cartes bancaires peuvent y être stockés. En effet, lorsque vous faites un achat, le site garde parfois en mémoire votre numéro de carte pour vous éviter de le saisir à nouveau lors de vos prochains achats. Veillez à protéger vos mots de passe et évitez dans la mesure du possible d'avoir recours aux services de mémorisation des coordonnées bancaires.

   
   
Retour haut-de-page
  Les autres formes de phishing
    
Les techniques utilisées par les pirates ne cessent d'évoluer. Voici donc une présentation non exhaustive des dernières formes de phishing.
Le phishing par fax

Des escrocs se servent maintenant du fax pour tenter de récupérer les identifiants bancaires ou de compte PayPal de leurs victimes.

Un e-mail prétendument émis par PayPal (système de paiement utilisé sur Ebay) ou par votre banque, vous informe qu'un pirate tente d'effacer le mot de passe de votre compte. L'e-mail, qui vise soi-disant à s'assurer que votre mot de passe n'a pas été utilisé de manière frauduleuse, contient un formulaire à remplir avec vos identifiants et à renvoyer par fax.

Les fausses barres Google

Proposée par Google, la barre Google est un programme s'installant dans votre navigateur sous la forme d'une petite barre additionnelle. Son but : permettre d'accéder directement au moteur de recherche et bloquer les ouvertures de fenêtres intempestives.

Depuis le 5 Octobre 2005, une fausse barre du moteur propagée à partir de services de messagerie instantanée vise à récupérer les numéros de cartes bancaires.

Deux liens proposant le téléchargement de l'application frauduleuse circulent actuellement sur les réseaux de messagerie. L'activation de l'un d'eux mène l'utilisateur à une page piège qui démarre l'installation de la fausse barre Google tout en ouvrant un fichier d'aide Windows.

Une fois installée, rien ne distingue la fausse barre de la vraie, si ce n'est qu'elle lance à votre insu un programme espion nommé « World AntiSpy » destiné à récupérer certaines de vos informations personnelles.

Le phishing par téléphone

Appelé aussi Vishing. Des escrocs se servent maintenant du téléphone pour tenter de récupérer les identifiants bancaires de leurs victimes.

Un e-mail ou un appel téléphonique prétendument émis par votre banque, vous informe par exemple qu’il y a des erreurs dans vos dossiers ou dans les transactions de votre compte. Ce message vous invite à contacter un serveur vocal censé appartenir à votre banque. Le serveur vocal vous demande de vous authentifier. Ce serveur vocal qui appartient au pirate récupère ainsi vos codes d’accès. Le pirate peut alors effectuer des opérations sur votre compte à votre insu.

Il se peut aussi qu’un serveur vocal vous appelle directement et vous demande de vous authentifier immédiatement, sous de faux prétextes.

Le phishing par téléphone mobile

Des escrocs utilisent aussi le portable pour tenter de récupérer les identifiants bancaires de leurs victimes.

Par exemple, un SMS envoyé sur le téléphone mobile des victimes confirme leur inscription à un site payant de rencontre sur Internet (alors qu’ils n’ont rien demandé). Pour ne pas payer, ils doivent annuler leur inscription en se connectant à un site internet. Evidemment c’est un site pirate, qui va à leur insu installer un cheval de troie et pouvoir voler des informations personnelles, comme des identifiants bancaires.

Il se peut aussi que vous receviez un message pour vous connecter à Internet depuis votre portable (accès i-mode ou wap). C’est sans doute un faux site qui récupèrera vos identifiants bancaires .


Attention donc à ne jamais communiquer vos informations personnelles par e-mail, fax ou SMS, ni d'une quelconque autre manière.
   
   
 
 
Retour haut-de-page Version imprimableImprimer la page
Accueilles risques Le phishing Plan du site