Le Phishing "Mefiez vous"..!!!

Dans votre boîte aux lettres électronique, un message de votre banque vous annonce un incident sur votre compte bancaire. Le message poursuit en vous demandant d'aller immédiatement vérifier l'opération douteuse. Pour vous faciliter la vie, un lien se propose même de vous conduire vers la page d'accès direct à vos comptes.

Un peu affolé, vous cliquez sur le lien. La page d'accès à vos comptes s'ouvre normalement. En confiance, vous saisissez votre numéro de compte et votre code secret. Bizarrement, une erreur de connexion s'affiche alors, et vous revenez à la page d'accueil.

Sans le savoir, vous venez de donner votre numéro de compte et votre code secret à un escroc qui va s'empresser d'assécher votre compte. Vous avez été la victime d'une arnaque de type phishing (voir le lexique).


Que s'est-il passé ? Bien évidement, le message reçu ne provenait pas de votre banque : il s'agissait d'un spam (ou pourriel) envoyé à des dizaines de milliers d'exemplaires dans l'espoir de pêcher un poisson naïf. La page d'accueil du site d'une banque reconnue est copiée à l'identique sur une page-leurre, mise en place par des pirates. S'il vous vient à l'idée de cliquer sur les liens ou les menus de cette fausse page, vous seriez instantanément renvoyé sur les pages adéquates de la banque : en pratique, seuls les formulaires de saisie des numéros de compte et de code secret sont piégés.

L'arnaque est au point. Excepté qu'une banque ne demande jamais de telles vérifications à ses clients par messagerie électronique, pas plus qu'elle ne leur demande de saisir le code secret de leur carte bancaire dans le but d'une soi-disant vérification.

Les pirates spécialisés dans le phishing opèrent principalement dans l'extorsion de codes secrets de cartes de crédit et de numéros de comptes bancaires. Toutefois, l'actualité vient parfois à point nommé pour leur permettre de décliner leur escroquerie. Ainsi des donateurs crédules ont-ils été lésés après le tsunami en Asie du Sud-Est. À peine quelques jours après la catastrophe, des courriers électroniques imitant parfaitement ceux d'ONG ou d'associations caritatives faisaient appel à la générosité des internautes. En fait, ils menaient tout droit vers des sites contrefaits, dont le seul objectif était de soutirer informations personnelles et bancaires aux donateurs crédules.

D'autres arnaques visent à usurper un compte d'utilisateur sur un site d'enchères (eBay, par exemple), dans le seul but de profiter de la popularité de vendeurs bien notés, en qui les acheteurs ont donc légitimement confiance. L'escroc vend alors des produits fantômes, tout en bénéficiant du " crédit confiance " de la victime du phishing.