SECURITE
Phishing : le '@' qui doit éveiller les soupçons
Selon Gartner, 76% des attaques ont eu lieu lors des six derniers mois. Ce type d'arnaque par courrier électronique aurait entraîné la bagatelle de 1,2 milliard de dollars de dommages l'an dernier aux Etats-Unis.  (07/05/2004)
  En savoir plus
 Phishing
Dossier Vers, virus, chevaux de Troie
Mimail.J transpose l'arnaque de type phishing au mode virus
  Vol d'identité : les professionnels tentent de réagir
 Virus : les mécanismes de base
Trente millions d'Américains auraient déjà fait l'objet ces douze derniers mois d'une attaque (réussie ou avortée) de type phishing, selon une enquête menée par le cabinet Gartner, auprès d'un échantillon de cinq mille utilisateurs d'Internet. Ils seraient 1,78 million à avoir véritablement donné des informations confidentielles.

Ces attaques se traduisent par l'envoi de courriels usurpant l'identité de banques, de fournisseurs de services en ligne ou de sites marchands, dans le seul but de soutirer à l'utilisateur final des informations confidentielles sur son compte. Vingt-sept autres millions d'Américains, selon Gartner, auraient déjà pu observer de près en quoi consistent de telles attaques.

Le phénomène n'est pas nouveau mais sa croissance, en revanche, l'est. 76% des attaques constatées ou suspectées ont en effet eu lieu au cours des six derniers mois et 16% lors des six mois précédents, ce qui mène à l'impressionnant total de 92% des attaques survenues durant les douze derniers mois. On assiste donc à une progression exponentielle du phénomène.

Le mode opératoire - toujours le même - n'en reste pas moins d'une redoutable efficacité. En amenant les clients d'une banque - par exemple - vers un faux site ou une fausse interface de saisie, ressemblant à s'y méprendre à l'original, les pirates n'ont aucun mal à récupérer les informations confidentielles saisies, en toute confiance, par l'internaute. Ils s'en servent ensuite notamment pour vider de leur contenu les comptes concernés ou utilisent les données collectées à d'autres fins (achats en ligne, etc.).

Une combinaison de caractères masque la véritable URL

Techniquement, le procédé est simple. A l'aide d'une combinaison de caractères tels que ":" et "@" ou "%01%00@", il est en effet possible d'afficher une URL commençant par le site en lequel l'internaute a confiance :
http://www.mon-etablissement-bancaire.com - par exemple - immédiatement suivie par la véritable adresse du faux site. Afin de ne pas susciter de vocation inutile, l'exemple que nous donnons ci-dessous ne fonctionne pas mais illustre notre propos :
http://www.mon-etablissement-bancaire.com/votrecompte@www.site-pirate.com

La présence notamment d'un "@" dans une adresse de site doit donc éveiller les soupçons de tout destinataire d'un courriel inhabituel lui demandant de mettre à jour l'un de ses comptes accessibles en ligne ou de ressaisir des données pourtant déjà renseignées par le passé.

Selon Gartner, les attaques de ce type ont déjà coûté aux banques et aux fournisseurs de cartes bancaires la bagatelle de 1,2 milliard de dollars l'an dernier aux Etats-Unis.
 
 
Fabrice DEBLOCK, JDN Solutions
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters