Le Phishing : attention
#1
Posté 15 Nov 2005 - 12:27
Une tentative grossière de vol de données par phishing a lieu depuis le 9 novembre. Cette tentative d'escroquerie vise notamment les clients des fournisseurs d'accès français dont Wanadoo ainsi que des internautes belges.
Cette arnaque se présente sous la forme d'un faux message écrit en anglais dont l'expéditeur est nommé "Verification".
Sous le fallacieux prétexte de vérification de données, le message vous demande de cliquer sur un lien puis de saisir des données confidentielles dans un formulaire en ligne.
Vous ne devez en aucun cas cliquer sur le lien présent dans le mail ni fournir les renseignements demandés. Le destinataire réel n'est pas votre fournisseur d'accès mais un individu malveillant essayant de récupérer des données confidentielles.
Ce message est une tentative de piratage par phishing. Ce même message est envoyé en masse à un très grand nombre d'internautes dont les adresses ont été collectées illégalement ou générées automatiquement.
Le lien présent dans le message est "maquillé" et en utilisant une redirection du moteur de recherche Google, vous conduit vers un site contrôlé par un pirate.
La dernière arnaque sur le web : le phishing
Que cache cet anglicisme ??
Le phishing, contraction de "fish" (poisson) et de "phreaking" (piratage des systèmes de téléphonie) est un nouveau genre d'escroquerie sévissant par mail depuis plus d'un an sur internet. Ce type d'arnaque profitant du développement du spam connaît une augmentation très importante.
Comment bien se faire arnaquer ?
Tout commence par la réception d'un mail. Vous recevez de votre banque un message de forme tout à fait habituelle (avec le logo et les couleurs de la banque) vous informant qu'un regrettable incident technique a effacé votre numéro de carte bleu. Vous êtes invité à cliquer sur un lien vous menant au site de la banque en question pour ressaisir votre numéro de carte bleu. Vous êtes en confiance et suivez attentivement les consignes…
Patatras ! Vous venez de fournir volontairement votre numéro de compte ou vos mots de passe à un escroc qui va s'empresser de soulager votre compte.
Et pourtant ! Tout vous semblait des plus normal. Le message était à l'entête de la banque, l'expéditeur semblait correspondre et le site était la copie conforme de votre banque.
Réalités du phishing
Si le mot a été inventé en 1996 par des pirates qui escroquaient des clients AOL en leur volant leur mot de passe, c'est surtout à partir de l'été 2003 que le phénomène a explosé en touchant particulièrement des clients des banques américaines. Ce sont ensuite les sites d'enchères ebay puis le système de paiement paypal qui ont été les cibles de phishing.
Depuis, la propagation de ces arnaques est exponentielle. En juin 2004, une étude du cabinet Gartner, estimait que les douze précédents mois, 30 millions d'internautes américains avaient fait l'objet d'une attaque de phishing. Parmi ceux-ci, 1,78 millions auraient effectivement transmis des informations confidentielles.
Selon ce même institut, les attaques de phishing auraient en 2003 coûtées aux banques et organismes de cartes bancaires américaines près de 1,2 milliard de dollars.
Le bon comportement face au phishing
Attention ! Le phishing est une arnaque efficace. La qualité des messages piratés, leur vraisemblance font que de 1 à 5% des millions de destinataires fourniraient par ce biais des données confidentielles.
Il importe donc d'être très soupçonneux et de prendre en compte les recommandations suivantes :
Les banques n'ont pas pour habitude de communiquer avec leur clientèle par la messagerie électronique a fortiori pour demander des modifications de données confidentielles. Aussi, si vous recevez de tels messages de votre organisme bancaire, détruisez-les. N'hésitez pas en cas de doute, à solliciter physiquement ou par téléphone votre agence en veillant à ne pas utiliser des coordonnées figurants dans le mail.
Si le message est en anglais, que votre anti-spam ne l'a pas filtré et que vous n'avez pas affaire à des organismes anglo-saxons ou américains, détruisez le mail. Répondriez-vous à un appel téléphonique en anglais vous demandant la communication de données confidentielles ?
Dans tous les cas vous devez :
- vous poser les questions : est-il normal que cet organisme me sollicite ? Est-il normal qu'il me demande cela ?
- ne surtout pas utiliser les liens présents dans le mail car ceux-ci peuvent être détournés et vous envoyer sur une fausse page sans que vous ne vous en aperceviez ;
- en aucune façon fournir, des informations et données confidentielles ;
- ne jamais vous identifier ou fournir une quelconque information sur un site web atteint depuis un lien figurant dans un mail.
Précautions principales
Ne vous fiez pas à un mail pour retenir l'adresse des sites que vous fréquentez.
Changez, si possible régulièrement vos mots de passe.
Equipez votre ordinateur d'un antivirus.
Protégez vos boites à lettres du spam, ce qui évitera que les mails de phishing ne vous atteignent.
Et si je me suis fait avoir...
Si vous avez été victime d'une arnaque via un mail de phishing, il importe de réagir très vite car les escrocs ne vont pas tarder à utiliser à vos dépends les informations collectées.
Contactez physiquement au plus vite votre organisme bancaire ou de paiement à leurs coordonnées habituelles ;
n'hésitez pas à vous tourner vers les autorités judiciaires pour porter plainte ;
enfin, n'hésitez pas à transmettre au service abuse de votre fournisseur d'accès le mail en cause.
#2
Posté 15 Nov 2005 - 16:36
#3
Posté 15 Nov 2005 - 16:40
#4
Posté 15 Nov 2005 - 16:55
#5
Posté 15 Nov 2005 - 20:41
il faut se servir du bon sens aussi pour ne pas se faire pieger
#6
Posté 15 Nov 2005 - 20:50
#7
Posté 15 Nov 2005 - 21:03
#8
Posté 16 Nov 2005 - 01:30
Et faut avoir un peu de bon sens aussi : pourquoi la banque, wanadoo ou n'importe quel autre organisme nous demanderai de leur communiquer des informations qu'ils ont eux meme etabli a la base et qu'ils nous ont fournit!!! Si vraiment ils y a une perte de donnée faut vous dire qu'il vous fournirait des nouveaux codes d'acces. Il ne vous demanderai pas de leurs fournir les anciens.
Je crois que si les gens avait un peu de reflexion y'aurait meme pas besoin de les alerter avec des topics de cette nature
Comme j'ai toujours dit suffit pas d'avoir une connexion pour s'ouvrir au monde entier...
--------------------------------------------------------------------------------------------------------------------------------------
Le fait que le monde soit peuplé de crétins permet à chacun de nous de ne pas se faire remarquer.
--------------------------------------------------------------------------------------------------------------------------------------
Telephone : D900 + Lg 7050 * 2 + T630
--------------------------------------------------------------------------------------------------------------------------------------
Ancien : Nokia 6280, 6260, Samsung e720, e710, Spv, SonyEricsson T610, T630, Lg f2100
--------------------------------------------------------------------------------------------------------------------------------------
#9
Posté 16 Nov 2005 - 15:34
je suis complétement d'accord avec toi,si pas mal de personne n'était pas aussi crédules et naifs,les virus et de tels arnaques n'existeraient plus...Je crois que si les gens avait un peu de reflexion y'aurait meme pas besoin de les alerter avec des topics de cette nature
#10
Posté 30 Oct 2006 - 01:57
Le Phishing
Le phishing, ou hameçonnage, est une forme d'attaque informatique consistant à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des données confidentielles : mot de passe, numéro de carte de crédit, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale ainsi que des courriers électroniques et des sites Web falsifiés.
- La suite sur wikipedia.org ==> ici
Pour vous donner un exemple de site de phishing, j'en est crée un vite fait: ici.
N'ayez pas peur, j'envoie les infos rentrées sur une boite qui n'existe pas et qui n'existera jamais
Temps nécessaire pour faire ce site: 5/10 minutes Vous comprenez pourquoi il est si simple et si alléchant de crée se genre de site web ... Bien sur mon site est ultra basique, mais 1 journée de travail et le résultat aurait pu être parfait de quoi faire marcher n'importe qui ...
Là, vous vous dites Pmb il a pété un cable (vilain ), il nous sort son sujet sur le phishing comme ça sans raison ... ben vous avez pas à 100% tord Enfait c'est les vacances je me rapelle que il y a 1 ans de cela j'avais pigé des amis sur MSN avec ça et il avait marchés avec un site encore plus minable que ça faute d'être informé sur cette pratique Donc maintenant je vais vous expliquer comment se préserver du phishing.
Comment éviter les phushing:
La vérification de l'adresse Web dans la barre d'adresse du navigateur Web peut ne pas être suffisante pour détecter la supercherie, car certains navigateurs n'empêchent pas l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue « propriétés de la page » fournie par le navigateur pour découvrir la véritable adresse de la fausse page.
Une personne contactée au sujet d'un compte devant être « vérifié », doit chercher à régler le problème directement avec la société concernée, ou se rendre sur le site Web en tapant manuellement l'adresse dans son navigateur.
En règle générale, il est recommandé de faire suivre le message suspect à l'adresse spoof (par exemple, si l'hameçonnage concerne societe.com, ce sera spoof@societe.com), ce qui permettra à la société de faire une enquête.
Il faut être particulièrement vigilant lorsque l'on rencontre une adresse contenant le symbole « @ », par exemple http://www.mabanque....ers.unsite.com/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur « www.mabanque.com » sur le serveur « members.unsite.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.mabanque.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanque.com.unsite.net/. Des navigateurs récents, tels que Firefox, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment utiliser de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.
Les filtres anti-pourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être de l'hameçonnage.
Les fraudes concernant les banques en ligne visent à obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site Web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virementréf. nécessaire : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve.
- Source: Wikipedia.org
Voila, petit brifing terminé Bon surf et attention aux personnes malveillantes qui trainent sur le net
[pm]Améliorations[/pm]
Modifié par pmb236, 30 Oct 2006 - 11:50.
#11
Posté 30 Oct 2006 - 02:19
il y avait pas un membres qui avait "phishinger" des membres sur fm?
#12
Posté 30 Oct 2006 - 02:55
J'avais justement posé la question du phishing cette semaine sur le topic sur le vocabulaire!
Franchement, maintenant, je n'ai plus d'excuse : je sais ce que c'est!!
Bravo pour le temps que tu as passé à répondre à cette question de façon si poussée!
Et je crois que ça va être utile à bien du monde, mine de rien!
Merci beaucoup!
Atchaô!
"Les perles de l'école" J Duhammel : "Les examens sont utiles pour le dépistage de l'ignorance."
#13
Posté 30 Oct 2006 - 03:38
Test Huawei Mate 7 Test du LG G3 Test Infinix Race Jet 4G Revue photos G3 Gold & Titane
Déballage / Unboxing PS4 20th Anniversary
LG G3 Gold,Huawei Mate 7 Moonlight Silver, HTC Desire Eye Blue.
Test Desire Test 5800 XM Test Renoir Test N95
#14
Posté 30 Oct 2006 - 09:36
#15
Posté 30 Oct 2006 - 10:44
Une énième faille au sein de MySpace qui aurait déjà été exploitée par des hackers. Détail intéressant : ces hackers seraient basés en France
D'après Netcraft, il existerait une fausse page de login qui aurait été insérée par des hackers au sein même de la plateforme de blogs de MySpace.Cette fausse page enregistrerait un tracker sur les ordinateurs des personnes trompées et elle récupèrerait les identifiants et mots de passe tapés ultérieurement. Après quoi, ces informations seraient acheminées sur un serveur situé en… France.
Même si Netcraft a informé MySpace de cette tentative de phishing, les responsables sécurité n'auraient pas encore enlevé la fausse page. Le danger est que même les utilisateurs aguerris et ceux qui prennent un minimum de précautions pourraient être trompés.
En effet, ce cas de phishing semble être diaboliquement efficace : la fausse page est directement hébergée sur les serveurs de MySpace. Rien n'indique en effet que les données seront envoyées sur un autre serveur.
Une fois les informations récupérées et véhiculées jusqu'au serveur basé en France, libre aux hackers d'en faire ce qu'il veulent. A cet effet, le Washington Post a récemment publié un article qui explique combien il serait profitable pour les fraudeurs d'ouvrir des comptes sur MySpace et d'autres plateformes sociales. On pourrait se demander ce que feraient les hackers-pêcheurs si des politiques se « connectaient » sur leur page…
via : generation-nt.com
Modifié par Alfred, 30 Oct 2006 - 10:45.
#16
Posté 30 Oct 2006 - 10:51
#17
Posté 30 Oct 2006 - 12:01
@MsN: pas bien
PS: J'ai apporté quelques modification au site et aussi à son adresse ==> www.phishingmsn.fr.ms
Modifié par pmb236, 30 Oct 2006 - 12:01.
#18
Posté 30 Oct 2006 - 12:42
Vilain Msn
#19
Posté 30 Oct 2006 - 13:16
Pour ma part j'étais déja au courant de tout cela, mais c'est une bonne idée que de prévenir le plus grand nombre des dangers du web
Un FMien averti en vaut deux!
0 utilisateur(s) li(sen)t ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)