|
| |
|
|
| Sommaire Sécurité |
 |
| Phishing : eBay et PayPal victimes de 75% des attaques |
| D'après un rapport de Sophos, les arnaques sur Internet ont leurs cibles de prédilection. Pour minimiser les risques, l'information et l'éducation des utilisateurs sont plus que jamais de rigueur.
(31/07/2006) |
|
Les services en ligne d'eBay et de PayPal ont malheureusement le vent en poupe auprès des hameçonneurs, ces escrocs de l'Internet, auteurs d'attaques par phishing (ou vol d'identité). Les deux sites représentent à eux seuls plus de 75 % des e-mails de phishing interceptés par les honeypots (pot de miel - ou piège à pirate) de l'éditeur de solutions de sécurité, Sophos.
Le vol d'identifiants de connexion reste bien entendu le premier objectif de ces arnaques en ligne. 54,3 % de ces faux messages s'adressent aux utilisateurs de PayPal. Pour 20,9 %, ce sont les clients d'eBay qui sont visés.
Quasi lapalissade désormais de la cybercriminalité : la motivation est exclusivement financière. Ce qui explique qu'hormis ces deux cibles de prédilection, ce soient principalement les banques qui se retrouvent dans la ligne de mire des pirates.
Selon les chiffres de l'APWG (Anti-Phishing Working Group), 92 % des attaques de phishing en mai étaient dirigées contre des entreprises du secteur financier. Toujours selon le même organisme, la perte moyenne par personne victime du phishing serait de 1 200 dollars.
L'APWG comptabilisait en mai, 11 976 cas de phishing, ciblant 137 marques différentes, avec une durée de vie moyenne pour les sites frauduleux de 5 jours. En novembre 2005, ces chiffres étaient très nettement inférieurs, avec 4 630 cas de phishing recensés, pour 93 marques visées et une espérance de vie moyenne de 5,5 jours pour les sites des pirates.
Pour les entreprises, la lutte contre le hameçonnage passe en grande partie par la sensibilisation et l'éducation des utilisateurs. Des démarches qu'ont tout naturellement engagées à la fois eBay et PayPal.
Le site d'enchères sur Internet a ainsi conçu un tutoriel à l'attention de ses clients. Au sommaire, copies d'écran et recommandations afin de communiquer aux utilisateurs les bons réflexes à adopter.
Identifier un mail de phishing repose en général sur l'analyse d'éléments récurrents. Tout d'abord, l'URL. Est-elle masquée ? Si oui, le risque qu'il s'agisse d'un piège est élevé. Il en est de même lorsqu'une adresse IP ou .biz figurent dans l'adresse, ou quand le message contient des fautes de grammaire, de frappe ou d'orthographe.
Dans tous les cas, il préférable d'ouvrir une nouvelle page Internet et de taper soi-même l'adresse d'un site, plutôt que de cliquer sur un lien inséré dans un e-mail. Mieux vaut en effet pécher par excès de confiance.
En outre, il est important de rappeler que les banques et les sites de e-commerce ne demandent jamais aux internautes des informations de type mot de passe ou numéro de compte.
Sur ces différents points, trois chercheurs de l'université de Harvard ont récemment conduit une étude afin de déterminer les astuces et procédés employés par les auteurs pour leurrer les internautes. 20 sites ont été présentés à 22 participants, avec pour tâche de déterminer les sites de phishing.
De cette étude, il est ressorti qu'aucun indicateur (sexe, âge, niveau d'éducation, expérience informatique) ne pouvait expliquer une plus ou moins grande vulnérabilité au phishing.
De plus, 23% des participants n'ont pas regardé l'URL, ni le statut ou un quelconque indicateur de sécurité. 15 ont négligé les messages relatifs à des certificats frauduleux. En moyenne, 40% ont commis des erreurs au cours du test.
|
| |
| |
|
|
|
Dossier 
