Vous recevez un e-mail...

...qui a l'apparence d'un véritable e-mail aux couleurs d'une société commerciale, comme une banque par exemple.

Qui vous demande d'effectuer une opération...

... comme vous connecter sur votre compte en ligne pour confirmer votre mot de passe, ou pour faire une mise à jour de vos données personnelles.

Sur un site identique à celui de votre banque...

... qui imite parfaitement son apparence, en général sous la forme de fausses pages de maintenance technique. Même l'adresse du site semble correcte.

On vous demande votre identifiant, votre mot de passe, votre numéro de carte bancaire, etc. On vous informe ensuite que tout s'est bien passé et que le problème est réglé. Vous êtes même remercié(e) sur la dernière page. En bref, pour vous, tout va bien.

Mais l'escroc a désormais tout loisir d'accéder à vos comptes...

... sur lesquels il est désormais en mesure d'effectuer, en toute "légitimité", toutes les opérations que vous êtes vous-même autorisé(e) à réaliser quand vous êtes connecté(e).

Certaines techniques utilisent des failles de sécurité dans les navigateurs Internet qui n'ont pas été mis à jour. Pour y remédier, suivez les conseils de la rubrique « Sécuriser mon ordinateur ». Veuillez répéter cette sécurisation au moins tous les trois mois.

Les e-mails ne sont pas sécurisés. En clair, tous vos e-mails peuvent être lus par quiconque se trouve sur le "chemin" reliant votre ordinateur à celui de votre correspondant. N'envoyez par e-mail aucune donnée confidentielle de type : mot de passe, coordonnées bancaires…

Une menace plus présente que jamais

Selon l'APWG (Anti-Phishing Working Group), la menace du phishing a progressé de 52% de juin à septembre 2005. Le cabinet d'études Gartner estime à 2,4 millions le nombre total d'internautes américains pris dans le piège du phishing pour un total de 929 millions de dollars de pertes.

Les différentes formes du phishing

On distingue plusieurs types de phishing, les pirates trouvant chaque jour de nouvelles astuces pour tromper les internautes. Leur premier objectif : récupérer des fonds. Rien d'étonnant donc, si les escroqueries concernent souvent des services marchands et transactionnels en ligne.

Les faux e-mails de banques

Un des principes consiste à informer l'internaute que son compte risque d'être désactivé, que quelqu'un a essayé d'usurper son identité ou que de nouvelles mesures de sécurité sont mises en place.

C'est de loin le type de phishing le plus répandu, l'accès aux comptes en ligne permettant d'effectuer des virements.

Ce faux e-mail est reproduit à titre indicatif.

Les faux e-mails des sites marchands

Les grands sites de e-commerce, d'enchères ou de webmail sont également des cibles intéressantes car des numéros de cartes bancaires peuvent y être stockés. En effet, lorsque vous faites un achat, le site garde parfois en mémoire votre numéro de carte pour vous éviter de le saisir à nouveau lors de vos prochains achats. Veillez à protéger vos mots de passe et évitez dans la mesure du possible d'avoir recours aux services de mémorisation des coordonnées bancaires.

Le phishing par fax

Des escrocs se servent maintenant du fax pour tenter de récupérer les identifiants bancaires ou de compte PayPal de leurs victimes.

Un e-mail prétendument émis par PayPal (système de paiement utilisé sur Ebay) ou par votre banque, vous informe qu'un pirate tente d'effacer le mot de passe de votre compte. L'e-mail, qui vise soi-disant à s'assurer que votre mot de passe n'a pas été utilisé de manière frauduleuse, contient un formulaire à remplir avec vos identifiants et à renvoyer par fax.

Les fausses barres Google

Proposée par Google, la barre Google est un programme s'installant dans votre navigateur sous la forme d'une petite barre additionnelle. Son but : permettre d'accéder directement au moteur de recherche et bloquer les ouvertures de fenêtres intempestives.

Depuis le 5 Octobre 2005, une fausse barre du moteur propagée à partir de services de messagerie instantanée vise à récupérer les numéros de cartes bancaires.

Deux liens proposant le téléchargement de l'application frauduleuse circulent actuellement sur les réseaux de messagerie. L'activation de l'un d'eux mène l'utilisateur à une page piège qui démarre l'installation de la fausse barre Google tout en ouvrant un fichier d'aide Windows.

Une fois installée, rien ne distingue la fausse barre de la vraie, si ce n'est qu'elle lance à votre insu un programme espion nommé «World AntiSpy» destiné à récupérer certaines de vos informations personnelles.

Attention donc à ne jamais communiquer vos informations personnelles par e-mail, fax ou SMS, ni d'une quelconque autre manière.