SMS-Gift.com

[Cedric]

 Contrairement à ce que l’on pourrait penser lorsqu’on évoque le terme « phishing », cela n’a rien à voir avec la pêche Enfin, quoique…

Le phishing est une technique malveillante d’escroquerie visant à faire passer un site, une société ou une personne pour une entité ayant de droit accès à des informations, et à se servir de ce premier mensonge pour obtenir des informations critiques sur un utilisateur.

Par exemple, sur Internet, des hackers arrivent à installer une copie détournée d’un site officiel d’une banque sur un espace d’hébergement Internet qui ne leur appartient pas (pour éviter tout risque d’identification du hacker) et via des liens envoyés par email, arrivent à faire venir des visiteurs sur leur site. Là, on leur demande de saisir leurs informations personnelles (nom, prénom, et numéro de carte bancaire par exemple). Pour plus d’efficacité, en général, lorsque l’utilisateur a donné ses informations, on lui affiche un message d’erreur qui lui fait croire que le site qu’il croît être officiel a des problèmes techniques. L’utilisateur s’en va donc confiant, et le hacker a le temps de l’escroquer.

Voilà la forme traditionnelle du phishing. Cependant, attention, car les hackers ne manquent pas d’inventivité pour escroquer les gens. Exemple, ce cas de phishing qui est arrivé aux Etats-Unis et qui pourrait débarquer chez nous plus vite qu’on ne le pense. L’opération vise les clients de PayPal, le service bancaire mis en place par eBay.

Cette fois, au lieu de passer par un site Internet, l’escroc envoie à sa victime un numéro de téléphone à rappeler « de toute urgence ». Une fois ce numéro entré, l’utilisateur est redirigé vers un serveur vocal qui l’informe que l’on a détecté des activités frauduleuses sur son compte et qu’il va entrer en contact avec le service technique. On lui demande alors bien sur à ce moment son numéro de carte bancaire, et le piège se referme sur la victime.

Mais quels sont nos moyens d’actions contre de telles escroqueries ? D’abord il faut savoir que si l’escroc n’a pas votre code secret, vous êtes sous une certaine protection en France. En effet, on peut effectuer des paiements avec votre carte sans code secret, mais alors dans ce cas là, l’opposition sur la carte est plus simple. En effet, lorsque par exemple vous faîtes un paiement sur Internet, en fait, vous donnez à la banque du compte destinataire de prélever la somme voulue sur votre compte. Mais techniquement les transferts de fond entre les banques ne se font que 6 mois après. Etant donné que le code secret n’est pas communiqué durant la transaction, vous pouvez faire valoir auprès de votre banque que la transaction n’est permis que d’authentifier un moyen de paiement comme étant valide, mais pas le payeur comme une personne autorisée à le faire. D’ailleurs, des abus d’utilisateurs qui achètent des services et font opposition sur leur carte pour exploiter cette faille, et par ailleurs un grand nombre d’internautes étant touchés par le phishing, des banques essaient de mettre en place des procédures d’identification du payeur, comme par exemple avec 3D secure, où l’on intègre à la phase de paiement une question personnelle.

Ca ce sont les moyens d’actions qui sont employable dans le cas où vous avez été victime d’un vol de carte ou de phishing.
Mais vous avez d’autres moyens qui eux peuvent vous éviter de tomber dans le piège. Ce sont par exemple des règles de vie qui vous pousseront à appeler un numéro officiel présent dans le bottin pour être certains que ce numéro est correct. Ou encore, à bien vérifier que l’adresse de la page que vous visualisé comporte bien le nom réel de l’établissement auquel vous faites confiance. Bref, de la vigilance !

Attention, le petit cadenas jaune en bas à gauche n’est pas un gage que le site est de confiance, et n’importe qui peut le mettre en œuvre. Cela veut simplement dire que la page sur laquelle vous vous trouvez a été téléchargée de manière cryptée. Maintenant, un hacker peut très bien vous afficher des pages chiffrées… Les données seront envoyées de manière cryptée, mais par contre les informations lui parviendront bel et bien : ce serait alors du phishing sécurisé