Hameçonnage: la pêche aux naïfs
Un faux mail de PostFinance envoyé cette nuit demande aux destinataires de fournir leur mot de passe. Il s'agit d'un cas typique d'hameçonnage (phishing). Identifier ce type d'attaque est simple.
Sommaire
Bon à Savoir
05.03.2014
Dernière mise à jour:
06.07.2022
Sébastien Sautebin
Les pirates qui sévissent sur internet agissent sur deux genres de failles: informatique et humaine. Le hameçonnage (phishing) fait partie de la seconde catégorie. La technique consiste à envoyer des courriers électroniques censés provenir d'une entreprise de confiance, souvent d'une banque. Les messages demandent aux destinataires de fournir leurs identifiants et mots de passe sous un prétexte lié à leur propre sécurité. Ces données permettront ensuite aux pirates d'accéder à...
Les pirates qui sévissent sur internet agissent sur deux genres de failles: informatique et humaine. Le hameçonnage (phishing) fait partie de la seconde catégorie. La technique consiste à envoyer des courriers électroniques censés provenir d'une entreprise de confiance, souvent d'une banque. Les messages demandent aux destinataires de fournir leurs identifiants et mots de passe sous un prétexte lié à leur propre sécurité. Ces données permettront ensuite aux pirates d'accéder à leurs comptes.
Le faux courriel de PostFinance parvenu cette nuit à Bon à Savoir en est un parfait exemple. Le message –en allemand- affirme qu'un tiers a essayé de se connecter au compte des destinataires depuis la Roumanie. Il leur demande de cliquer sur un lien où apparaît une copie falsifiée du site de PostFinance et d'y inscrire leurs coordonnées et mots de passe afin de soi-disant sécuriser leur compte.
Jamais de mots de passe par mail
Comment déceler ces attaques? Généralement, il existe toute une série d'indices: fautes d'orthographe, grammaire incertaine, adresse d'envoi et adresse du lien ne correspondant pas à l'entreprise concernée. «Le message de cette nuit est par exemple écrit dans un très mauvais allemand. Certains sont de bien meilleure qualité» souligne Marc Andrey, porte-parole de PostFinance. Ce dernier précise que l'entreprise fait face à plusieurs dizaines de tentatives de ce genre par année. Bon à Savoir, de son côté, répertorie ces attaques dans ses alertes conso . PostFinance, comme d'autres sociétés concernées, a la plupart du temps connaissance des cas de phishing et bloque les serveurs d'où ils sont issus. De même les systèmes de sécurité avertissent des tentatives de connexion aux comptes clients provenant de l'étranger.
Néanmoins, mieux vaut prévenir que guérir. Et là, sans perdre de temps à rechercher les indices, il existe un moyen tout simple et infaillible de démasquer une tentative d'arnaque: «aucune banque en Suisse ne demande de fournir un mot de passe ou un identifiant par email», souligne Marc Andrey. Dès lors, il suffit de jeter immédiatement tout mail contenant ce type de requête. Evitez également de cliquer par curiosité sur le lien fourni: votre ordinateur peut être infecté par un logiciel malveillant dissimulé sur le site de hameçonnage. Si vous l'avez fait, mettez à jour votre antivirus et effectuez une analyse complète. Et si vous remarquez trop tard que vous êtes tombé dans le panneau, contactez immédiatement votre banque!
Sébastien Sautebin
