Dans cette section

• Accueil
• Sécurité
• Mesures de prévention
• Phishing

• Analyses
• SophosLabs
• Spywares et adwares
• Canulars et craintes
• Alerte par courriel
• Mesures de prévention
• Livres blancs
• Sujets d'actualité

• 

Etapes simples pour éviter d'être la victime de phishing

Le phishing est un type de spam de plus en plus répandu qui peut mener au vol des informations personnelles du type numéro de carte de crédit ou mot de passe pour une banque en ligne.

Les attaques de phishing commencent par l'envoi de courriels "falsifiés" semblant provenir d'un site Web légitime comme celui d'une banque, d'une société de cartes de crédit ou d'un fournisseur de services Internet, tout autre site exigeant une identité personnelle ou un compte. Le courriel peut demander de répondre en incluant des informations sur son propre compte en vue d'une "mise à jour de sécurité" ou pour une quelconque autre raison.

Le courriel de phishing peut aussi vous diriger vers un site Web falsifié ou une fenêtre contextuelle parfaitement semblable au véritable site, mais paramétré dans le seul objectif de dérober des informations personnelles. Les personnes imprudentes donnent alors souvent leurs numéros de cartes de crédit, leurs mots de passe ou autres informations.

D'après le Anti-Phishing Working Group, les phishers parviennent à convaincre de répondre jusqu'à cinq pour cent des destinataires.

Comment se protéger :

• Ne répondez jamais aux courriels demandant des informations financières personnelles
  Les banques ou les sociétés de commerce électronique personnalisent généralement leurs courriels, ce qui n'est pas le cas des phishers. Les phishers incluent souvent des faux messages à sensation ("urgent - les détails de votre compte ont peut-être été volés") pour déclencher une réaction immédiate. Les sociétés réputées ne demandent pas dans un courriel à leurs clients des mots de passe ou des informations sur leurs comptes. Si vous pensez que le courriel peut être légitime, ne répondez pas, mais contactez la société par téléphone ou en visitant leur site Web. Soyez prudents lorsque vous ouvrez des pièces jointes ou téléchargez des fichiers à partir de courriels, quelle que soit leur origine. Sophos utilise SPF (Sender Policy Framework). Il s'agit d'une solution anti-falsification qui implique la publication d'une liste détaillant les serveurs autorisés à envoyer des courriels Sophos.
   
• Visitez les sites Web des banques en saisissant l'URL dans la barre d'adresse
  Les phishers utilisent souvent dans les courriels des liens orientant leurs victimes vers un site falsifié, généralement vers une adresse semblable comme mybankonline.com au lieu de mybank.com. Quand on clique sur ce lien, l'URL qui apparaît dans la barre d'adresse semble authentique, mais il existe plusieurs façons de la rendre fausse et d'orienter vers un site falsifié. Si vous soupçonnez qu'un courriel de votre banque ou d'une société en ligne est faux, ne cliquez pas sur les liens proposés.
   
• Vérifiez régulièrement vos comptes
  Connectez-vous régulièrement à vos comptes en ligne et vérifiez vos relevés. Si vous voyez des transactions suspectes, signalez-les à votre banque ou à votre organisme de carte de crédit.
   
• Vérifiez que le site Web que vous visitez est sécurisé
  Avant de soumettre vos informations bancaires ou d'autres informations sensibles, il existe deux vérifications que vous pouvez effectuer pour vous assurer que le site utilise un chiffrement qui protège vos données personnelles :
  
  Vérifiez l'adresse Internet dans la barre d'adresse. Si le site Web que vous visitez figure sur un serveur sécurisé, il doit commencer par "https://" ("s" pour sécurité) au lieu de l'habituel "http://".
  
  Vérifiez aussi que l'icône du cadenas figure bien dans la barre d'état du navigateur. Vous pouvez vérifier le niveau de cryptage, exprimé en bits, en faisant passer le curseur au-dessus de l'icône.
  
  Il faut savoir que ce n'est pas parce que le site Web utilise un cryptage qu'il est nécessairement légitime. Cela indique seulement que les données sont envoyées sous une forme chiffrée.
  
  
• Soyez prudents avec les courriels et les données personnelles
  La plupart des banques mettent en place sur leurs sites Web une page de sécurité sur laquelle figurent des informations sur l'exécution sécurisée de transactions et des conseils habituels à propos des données personnelles : ne laissez jamais personne prendre connaissance de vos numéros d'identification personnels (PIN) ou de vos mots de passe, ne les écrivez jamais et n'utilisez jamais le même mot de passe pour tous vos comptes en ligne. Evitez d'ouvrir les courriels de spam ou d'y répondre car cela permet à l'expéditeur d'avoir confirmation qu'ils ont ciblé une adresse existante. Faites preuve de bon sens lorsque vous lisez des courriels. Si quelque chose vous semble peu plausible ou est trop séduisant pour être vrai, c'est que ça l'est sans aucun doute.
   
• Faites en sorte que votre ordinateur soit en permanence protégé
  Certains courriels de phishing ou autres spam peuvent contenir des logiciels qui parviennent à enregistrer des informations sur vos activités Internet (spywares) ou ouvrir une 'porte dérobée' pour permettre aux pirates d'accéder à votre ordinateur (chevaux de Troie). L'installation d'un logiciel antivirus et son maintien à jour permettra de détecter et de désactiver les logiciels malveillants alors que l'utilisation d'un logiciel antispam empêchera les courriels de phishing de vous atteindre. Il est par ailleurs important, surtout pour les utilisateurs d'une connexion ADSL, d'installer un pare-feu. Ceci permet de protéger les informations disponibles sur votre ordinateur tout en bloquant les communications provenant de sources non désirées. Faites en sorte de rester à jour et de télécharger les correctifs de sécurité les plus récents pour votre navigateur. Si vous n'avez aucun correctif d'installé, allez sur le site Web correspondant à votre navigateur. Par exemple, les utilisateurs d'Internet Explorer doivent se rendre sur le site Web de Microsoft.
   
• Signalez toujours les activités douteuses
  Si vous recevez un courriel dont vous doutez de l'authenticité, faites-le suivre vers l'organisme plagié (de nombreuses entreprises disposent d'une adresse électronique dédiée à ce type d'abus).
   
• Autres lectures
  Pour plus d'informations sur la manière dont les utilisateurs et les entreprises peuvent se protéger contre la fraude en ligne, consultez les informations publiées par le British banking industry et les conseils de la Australian Bankers Association.