phishing hameçonnage

Le mot phishing vient du mot « fishing » signifiant « pêche » en anglais, notamment pour parler de « pêche aux mots de passe ».
Crédits photo : betacontinua

Qu’est-ce que le phishing ou hameçonnage ?

Il s’agit d’une méthode permettant de récupérer des données d’une victime en lui faisant croire qu’elle utilise un site, une application ou un service qu’elle connaît. Dans la majeure partie des cas ces données sont privées et sensibles. Il s’agit d’une technique d’ingénierie sociale exploitant la faille humaine lors d’une attaque.

Évolution des sites de phishing suivant les pays, ici en 2006 :

phishing en 2006Et là en 2012 :

phishing en 2012

Comment le phishing Facebook fonctionne ?

Le support qu’une victime connaît et utilise habituellement est copié à l’identique. Cette copie est uniquement visuelle car elle ne réagit pas de la même manière que le site ou service officiel lorsque la victime entreprend des actions. La victime n’aura bien souvent pas la moindre idée de ce qu’il se passe réellement car l’interface gardera toujours un aspect le plus réaliste possible, les messages d’erreur comme 404 NOT FOUND en fond partie, ainsi que les redirections vers les vrais sites.

Comment détecter les tentatives de hameçonnage et s’en prémunir ?

Voici une liste récapitulative :

  • Connaître les réelles habitudes des entreprises : Certaines grandes entreprises indiquent clairement ne jamais faire des demandes comme la mise à jour d’informations de sécurité par e-mail.
  • Toujours vérifier l’URL du site web en question avant de communiquer des informations sensibles : Le nom du site web que l’internaute est supposé visiter peut être légèrement différent, l’extension peut changer, une lettre peut être ajoutée dans le nom etc.
  • Vérifier la présence de fautes d’orthographe : Bien souvent la détection de fautes d’orthographe répétées suffit à déceler une tentative de hameçonnage.
  • Vérifier la source : Si un e-mail est reçu demandant d’accéder au site pour exécuter telle action, vérifier que l’expéditeur soit connu. Attention aux adresses mail falsifiées.
  • Vérifier sur les moteurs de recherche : Des sites regroupent diverses informations essentielles à connaître sur le phishing mais aussi des bases de données des sites illégaux. Vous pouvez par exemple essayer l’extension WOT (Web Of Trust) ici : http://www.mywot.com/ ou encore sur le fameux http://www.phishtank.com/ (copiez-collez l’url et cliquez sur « Is it a phish ? »)
phishing facebook

faccbook ou facebook ?

Le phishing Facebook étant par ailleurs très à la mode en ce moment, sachez que Facebook a rédigé une page spécialement à ce propos : https://www.facebook.com/help/217910864998172

« faccbook ou facebook ? »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Que faire si je pense être victime d’un phishing ?

Il faut changer le plus vite possible les données transmises : Certaines attaques sont massives, vous avez donc éventuellement un court délai pour changer vos données transmises, notamment les mots de passe.
Retenir le nom du site et les actions effectuées : Cela permettra aux personnes compétentes de retracer l’attaquant et d’analyser le comportement du site malveillant.

À retenir :
Même les programmes comme votre logiciel de messagerie peuvent être copiés. Les informations transmises peuvent aussi bien être récupérées.
Le phishing concerne tous les supports électroniques y compris les mobiles et les tablettes. La meilleure protection reste la sensibilisation et la méfiance. Car aucun logiciel antivirus ne pourra vous garantir à 100% une protection contre le phishing.

Plus d’informations :

Articles similaires

Menu