Parfois, il est facile de reconnaître qu'un e-mail est en fait du spam. Surtout quand le message est rédigé dans une langue étrangère ou comporte une publicité pour des produits qui se retrouvent souvent dans des spam, comme des médicaments, des montres (contrefaites) ou l'accès payant à des sites proposant du contenu pour adultes.
Certains spammers et criminels Internet ont hélas développé une technique très raffinée où ils se font passer pour l'une ou l'autre entreprise connue: un site Web connu, une banque, une société de cartes de crédit, etc. 'Déguisés' en cette entreprise, ils essaient de vous convaincre d'aller sur un site Web où vous devez introduire vos données personnelles. Ce site est fait dans le style de la société sous le nom de laquelle les malfaiteurs se présentent à vous, généralement via e-mail.
En jargon, cette pratique s'appelle phishing. Les escrocs qui recourent aux techniques de phishing veulent, sous de faux prétextes, vous faire divulguer des données qu'ils peuvent utiliser ensuite pour vous escroquer, vous ou d'autres. Ils le font souvent par le biais de spam qui ont une allure très officielle et qui vous conseillent généralement de réagir très rapidement.
Quelques exemples:
1. Un exemple type de phishing: un e-mail d'une banque ou d'une institution financière (p. ex. une société de cartes de crédit, un fournisseur de technologie de paiement via l'Internet,…) qui vous indique qu'il y a un problème avec vos données. Si l'expéditeur en question correspond – par hasard – à votre véritable banque, la tentation est évidemment grande de le croire. Vous êtes alors renvoyé(e) à un faux site Web où vous pouvez réintroduire correctement vos données, avec toutes les conséquences que cela suppose.
2. Parfois, le phishing vise à vous voler votre 'identité'.
Un exemple fréquent: un e-mail d'un fournisseur d'e-mails connu qui vous demande de confirmer votre mot de passe et votre nom d'utilisateur. Le nom de sites Web connus qui travaillent avec des utilisateurs enregistrés, comme les sites de ventes aux enchères, est également utilisé fréquemment dans des scénarios de ce genre.
Les phishers tentent ensuite d'escroquer d'autres utilisateurs innocents à l'aide de votre nom d'utilisateur et votre mot de passe.
Spoofing
L'une des raisons pour lesquelles il est très difficile, surtout pour des internautes débutants, de reconnaître le phishing est due à la technique du spoofing utilisée par de nombreux phishers. Pour faire court, le spoofing, également appelé spoofing d'URL dans ce contexte, revient à ce que l'adresse Internet (l'URL) de la page Web vers laquelle les malfaiteurs vous envoient ressemble à s'y méprendre à la véritable adresse Internet de l'entreprise sous le nom de laquelle ils tentent de vous escroquer.
Une autre forme de spoofing porte sur l'adresse de l'expéditeur d'un e-mail: les phishers (tout comme les spammers, d'ailleurs) envoient le mail à partir d'un faux nom d'expéditeur, parfois mieux connu, et non à partir de leur véritable adresse.
Social engineering
Les techniques utilisées par les phishers sont généralement classées dans la catégorie 'social engineering' par les spécialistes en matière de sécurité. Ils entendent ainsi que les phishers tentent d'obtenir des données confidentielles, comme des mots de passe, par le biais d'une manipulation 'sociale'.
D'ailleurs, le social engineering ne se rencontre pas uniquement sur l'Internet. Il existe des cas connus où des personnes ont divulgué dans le 'monde réel' leur mot de passe ou des données confidentielles à quelqu'un qui les a 'pêchées' de manière très rusée. C'est précisément l'origine du terme phishing: il s'agit d'une combinaison du mot 'fishing' (aller à la pêche aux informations confidentielles) avec les initiales des mots 'password harvesting' (littéralement 'la récolte de mots de passe').
Le phishing via l'Internet fait souvent partie d'une tentative plus large de vous voler votre 'identité', dans le cadre de laquelle d'autres techniques, telles que le vol, sont également utilisées. Pour savoir comment les escrocs s'y prennent et ce que vous pouvez faire, reportez-vous à la fiche 'Préservez votre identité: ne laissez aucune chance aux escroc'.
Pharming
Une technique qui reste heureusement assez limitée repose sur le piratage du site Web d'une grande banque ou d'une institution par des escrocs qui détournent les visiteurs des heures durant vers un autre site Web. Sur celui-ci tourne généralement une page qui ressemble comme deux gouttes d'eau au site Web d'origine. Une fois que vous avez introduit vos données d'identité et votre mot de passe, les escrocs prennent directement la poudre d'escampette. Bien que vous puissiez parfois déceler la différence grâce à de petits détails, par exemple l'adresse qui s'affiche dans votre navigateur, cette technique est très dangereuse.