Le phishing exploite la crise financière américaine
L'organisme américain de protection des consommateurs a publié une alerte concernant des attaques de phishing. Celles-ci détournent les faillites et rachats de banque pour abuser les internautes.
Il y en a au moins certains que la crise financière actuelle réjouit. Ce sont les auteurs de phishing et autres escroqueries (scams) sur Internet. Ce sujet d'actualité, particulièrement anxiogène, constitue une amorce particulièrement efficace pour des attaques faisant appel au social engineering. La pratique n'a, il est vrai, rien de révolutionnaire puisque les cybercriminels exploitent fréquemment l'actualité pour des campagnes de spam et de phishing.
L'exploitation de la crise financière pour des escroqueries est cependant suffisamment importante pour que la FTC, l'organisme fédéral américain chargé de la protection des consommateurs, tire la sonnette d'alarme. La méthode et l'objectif des pirates restent les mêmes : abuser l'internaute pour le pousser à communiquer des informations sensibles, essentiellement des coordonnées bancaires.
Les auteurs de phishing ont cette fois détourné les récentes faillites et opérations de rachat affectant le secteur bancaire. La confusion et les craintes suscitées par la crise constituent un terreau fertile aux campagnes de phishing, surtout sur le territoire américain, le plus concerné par l'écroulement de la finance.
La FTC met donc en garde les internautes contre des escroqueries électroniques reposant sur des emails tel que celui-ci : "Nous avons récemment racheté ABC Banque. Par mesure de précaution et d'intégrité pour nos nouveaux clients à la banque en ligne, nous vous adressons ce message d'avertissement... Veuillez suivre le lien ci-dessous afin d'actualiser vos données de compte".
La FTC met en garde contre le vishing : le phishing exercé via la VoIP
Autre exemple de message : "A l'occasion de notre rachat de XYZ Savings & Loan [ndlr : épargnes et prêt], une faille de sécurité a affecté nos données. Nous soupçonnons une transaction non-autorisée sur votre compte. Afin de nous assurer que votre compte n'a pas été compromis, veuillez cliquer sur le lien ci-dessous pour confirmer votre identité."
Même si les attaques de phishing de cette nature existent désormais depuis plusieurs années, le fait est qu'elles continuent de trouver des victimes, toujours insuffisamment sensibilisées. La FTC rappellent donc plusieurs règles aux internautes utilisateurs de services bancaires sur Internet. Il est ainsi impératif de ne jamais répondre à un email ou un pop-up demandant des données personnelles ou financières, pas plus que de cliquer ou copier le lien présent dans ces messages (même s'ils semblent légitimes).
La FTC met également en garde contre le vishing, c'est-à-dire le phishing exercé via la VoIP. Ces attaques s'appuient sur des messages vocaux pré-enregistrés, mais aussi des emails comportant un numéro de téléphone en voix sur IP. L'objet de ces sollicitations frauduleuses est en général une actualisation des coordonnées bancaires. La FTC rappelle également un autre principe de base : l'utilisation d'un antivirus, d'un anti-spyware, d'un pare feu, et le téléchargement de leurs mises à jour.
Compte tenu des données qu'elles manipulent, les banques sont les cibles de prédilection des auteurs de phishing. Et ces escroqueries ne sont par circonscrites au seul territoire américain, même si spam et emails de phishing demeurent principalement rédigés en anglais. En Europe, le Royaume-Uni, notamment, est donc lui aussi concerné.
Selon l'association anglaise des paiements (dont font partie les établissements bancaires), l'APAC, la fraude sur la banque en ligne a progressé de 185% au premier semestre 2008 (par rapport à 2007), représentant un préjudice de 21,4 millions de livres.
En France, si des chiffres sur la fraude à la carte bancaire existent, les dégâts du phishing restent assez méconnus. Des campagnes ont cependant déjà visé des entreprises françaises, dont Voyages-sncf.com, le CIC, Orange ou Free.