Explication
Le "phishing", aussi appelé "hameçonnage", est une escroquerie qui circule de plus en plus via le courrier électronique. Le mot « phishing » est en fait la contraction des mots anglais "fishing", en français pêche, et "phreaking", désignant le piratage de lignes téléphoniques.
Il s'agit d'une technique utilisée par les pirates informatiques pour récupérer des informations personnelles (telles que le nom d'utilisateur et le mot de passe voire des données bancaires) auprès d'internautes afin de les utiliser frauduleusement, et cela en usurpant l'identité d'un tiers et en invoquant un faux prétexte.
Qu'il s'agisse de prétexter la mise à jour des données personnelles sur eBay, de vérifier que le compte du consommateur chez Citibank ou son fournisseur d'accès n'a pas été piraté, de s'assurer que le numéro de carte de crédit Visa n'a pas été utilisé frauduleusement ou d'autres scénarios farfelus de ce genre, le but des escrocs est toujours le même : se faire passer pour un organisme ou une entreprise de confiance possédant lesdites données, inviter le consommateur à se connecter en ligne par le biais d'un lien hypertexte et, pour une raison ou pour une autre, le faire réintroduire ses données dans un formulaire qui se trouve sur une page web factice, copie conforme du site original. Par ailleurs, les adresses web mentionnées dans ces e-mails ressemblent parfois fortement aux adresses officielles.
Dans ce contexte, l'extrême urgence généralement invoquée et la facilité d'amener rapidement l'internaute sur le site contrefait font tomber certaines personnes dans le panneau.
Une fois que les informations personnelles sont dans les mains de l'escroc, ce dernier pourra les utiliser frauduleusement, notamment pour sortir de l'argent du compte en banque de l'internaute piégé ou faire des achats à l'aide de son numéro de carte de crédit.
Illustration
Exemple 1 de phishing
Exemple 2 de phishing
Comment réagir ?
Le simple fait de recevoir un courrier électronique vous demandant de mettre à jour vos données personnelles doit vous inciter à la méfiance.
Il est possible que ce genre de messages soit légitime, mais c'est pratiquement jamais le cas en ce qui concerne des données aussi sensibles que le nom d'utilisateur et le mot de passe ou des données bancaires, tel le numéro de carte de crédit. Les banques sérieuses ne demandent d'ailleurs jamais les données confidentielles d'un client par courrier électronique.
Si l'internaute reçoit un courrier électronique qui demande ses données personnelles, la meilleure solution est de ne pas réagir et de l'effacer. S'il a néanmoins un doute, nous lui conseillons de contacter directement son prestataire (banquier, fournisseur d'accès, vendeur en ligne, etc) – dont l'identité pourrait avoir été usurpée – afin de vérifier la véracité de la demande. Dans ce cas, il ne faut évidemment pas utiliser les éventuelles coordonnées de contact indiquées dans le courrier électronique mais veiller à obtenir des coordonnées fiables par d'autres voies.
Si l'internaute se rend compte – mais trop tard – qu'il a divulgué ses données bancaires, la première chose à faire est de bloquer son compte et sa carte le plus rapidement possible afin que l'escroc ne puisse pas s'en servir. Il suffit d'appeler le numéro 070/344.344 (Card Stop). Ce service est disponible pour toutes les cartes bancaires belges, qu'il s'agisse de cartes Bancontact/Mistercash ou de cartes de crédit. Nous conseillons également de dénoncer les faits à la FCCU à l'adresse suivante : contact(at)fccu(dot)be.
Pour éviter de tomber dans le piège, voici quelques vérifications à faire pour déceler le caractère douteux de ce type de message :
- ai-je communiqué à cette entreprise mon adresse de messagerie ? Si ce n'est pas le cas, comment la connaît-elle et se fait-il qu'elle me contacte par ce biais ?
- le message en question est-il nominatif ? Le courrier reçu possède-t-il des éléments personnalisés permettant d'identifier sa véracité (numéro de client, nom de l'agence, etc.) ? Si ce n'est pas le cas, méfiance !
- l'expéditeur a-t-il une adresse électronique officielle ? Si c'est une adresse yahoo ou hotmail, vous devez clairement considérer ce courrier électronique comme douteux. Par ailleurs, il ne faut pas se fier totalement à l'adresse de l'expéditeur, qui est falsifiable et peut parfois porter un nom proche d'une entreprise connue ;
- il ne faut pas non plus se fier à l'apparence du site vers lequel on est dirigé : un site web peut être copié au pixel près !
- le lien inclus au message pointe-t-il directement vers l'adresse classique : [www.votrebanque.be], [www.votreprestataire.be], etc. ? Attention, les sites falsifiés ont parfois une adresse qui ressemble de près à l'adresse officielle, mais pas totalement (bien vérifier l'orthographe du nom de domaine) !
- éviter de cliquer directement sur le lien contenu dans l'e-mail, mais plutôt vous connecter à votre service en ligne par la barre d'adresse de votre navigateur, en tapant manuellement l'adresse ;
- vérifier que le site contenant des données sensibles est protégé (ce qui se concrétise par l'utilisation du protocole https et l'affichage d'un petit cadenas dans la barre d'état au bas du navigateur) ;
- dernier conseil : ne jamais divulguer de codes ou identifiants par courrier électronique.
Ces quelques règles de précaution devraient éviter bien des mauvaises surprises. Ces petites précautions prises, il convient toutefois de ne pas sombrer dans la paranoïa et de garder à l'esprit qu'Internet n'est pas plus dangereux que le monde réel dans lequel chacun de nous évolue chaque jour...
Pour en savoir plus
Le site web « Arnaques » du CRIOC : www.arnaques.be ;
Les sites web : www.hoaxbuster.com ; http://onguardonline.gov/phishing.html .