Phishing en France : Pourquoi et comment se proteger

Le phishing consiste à envoyer des emails ressemblant à des mails authentiques de votre banque, compte Ebay, Paypal, Google, en vous demandant de vous connecter pour vérifier vos informations personnelles.

Les liens qui sont intégrés dans l’email sont des liens qui ressemblent à des liens officiels, qui vous routent sur un site identique au site officiel mais administré par des pirates. En vous connectant, vous leur donnez toutes les informations pour qu’ils puissent se connecter à votre compte et le détourner.

Pourquoi fait-on du phishing ?

  • Pour accéder à votre compte bancaire
  • Pour accéder à votre compte Ebay
    • Pour acheter des objets à votre nom qu’on fera livrer à une autre adresse
    • Pour monter la réputation d’un compte pirate
    • Pour détruire la réputation d’une cible particulière
    • Pour vous voler vos informations personnelles
  • Pour accéder à votre compte Paypal
  • Pour accéder à votre boite email
    • Pour usurper votre identité
    • Pour détourner votre site web ou votre blog
    • Pour obtenir l’accès à d’autres informations sensibles
    • Pour obtenir un nouveau mot de passe sur d’autres sites ou applications
    • Pour prendre des engagements à votre place (abonnements, prêts, etc)
  • Pour vous voler votre identité
  • D’une manière ou d’une autre, pour se faire de l’argent

Les motifs pour que les pirates fassent du phishing sont donc très nombreux, et l’argent qu’ils en retirent est assez important pour que cela ne soit pas près de s’arrêter. Cela rapporte beaucoup plus que le spamming, alors imaginez ce qui nous attend ! Et le phishing se fait maintenant sur des cibles françaises parce que ce marché devient intéressant, au même titre que le marché français du spamming. Je vous invite à aller lire l’article sur la nationalisation des campagnes de spamming pour comprendre les enjeux de ce qui se passe.

Comment se protéger du phishing ?

On parle toujours de comment le destinataire peut s’en protéger mais jamais de comment les professionnels de l’emailing peuvent s’en protéger !

Pour le destinataire

C’est assez simple :

  • Vérifier les fautes d’orthographes et la grammaire. Jamais votre banque ne vous écrira un courrier officiel écrit n’importe comment.
  • C’est évident mais votre banque ne vous écrit jamais en anglais.
  • En positionnant votre souris sur le lien, sans le cliquer, vous verrez apparaitre l’url cachée derrière le lien. Si cela pointe sur un autre domaine que celui de la banque, c’est un faux
  • En cas de doute, allez directement sur le site de votre banque depuis une nouvelle fenêtre de votre navigateur, et regardez sur le site s’il y a une alerte prévenant d’une campagne de phishing actuellement. De plus en plus souvent les banques alertent ainsi leurs utilisateurs.
  • Dans tous les cas, ne cliquez pas sur les liens des emails si vous n’êtes pas sur à 100 % de l’email (et encore !) Préférez appeler votre banquier en cas de doute (si si, il est là pour ça !)

Pour l’expéditeur

C’est plus difficile :

  • Il faut avoir une stratégie emailing clairement définie et une adresse d’expéditeur figée
  • Etre identifié comme un expéditeur reconnu, par son adresse email notamment, peut être facilement réalisable par un mail forgé
  • Pour les pages sensibles, il faut un accès en HTTPS et communiquer sur ce point avec ses utilisateurs
  • Il n’est pas possible d’obliger ses destinataires à accepter des mails signés numériquement. Les destinataires ne sauraient pas comment s’en dépatouiller 🙂
  • Il faut avoir des profils complets mis à jour pour être capable de communiquer de manière personnalisée à chaque fois. Le pirate ne connait pas votre nom et prénom, il envoie en masse !
  • En cas d’attaque en Social Engineering, donc même si le pirate connaît votre nom et prénom, il faut avoir un moyen infaillible de reconnaissance et d’authentification du mail.
    Un moyen mis à disposition pour cette reconnaissance est l’antiphishing par vignette.

Bref c’est beaucoup de communication et de technologie à maîtriser.

Je reviens sur l’antiphishing par vignette, technologie qui a été ajoutée dans la dernière version de Mailperformance. L’utilisateur de votre base va être invité à choisir une vignette, sorte de petite image, qui accompagnera tous les envois effectués. Dès qu’un email partira vers cet utilisateur, la vignette sera automatiquement ajoutée en bas du mail, sorte de passeport visuel pour prouver l’authenticité du mail. Comme le choix des vignettes est large, on à l’assurance que l’utilisateur sera capable de reconnaître, au premier coup d’oeil, un mail légitime d’un autre. C’est une technologie assez simple mais très efficace pour lutter contre le phishing parce que seul le routeur connait la vignette choisie par l’internaute.

Pour en finir avec le phishing, une petite vidéo trouvée sur le blog d’un de nos visiteurs : Inboxblog
Elle explique assez simplement ce qu’est le phishing, mais c’est en anglais.

Articles proches :

2 Rétroliens

  1. […] regarde les points listés à l’époque dans l’article qui expliquait ce qu’est le phishing et comment s’en prémunir, on remarque une grande différence entre le phishing pour la caisse d’épargne de ce matin […]

  2. Par Le phishing ou hameçonnage par email | InboxBlog | Email Marketing le 29 octobre 2013 à 10:07

    […] Snipemail : Un article très intéressant sur le phishing […]

Soumettre un commentaire

Votre adresse email n'est jamais publiée ni partagée. Les champs requis sont marqués par *

*
*