Le phishing ! Et c'est quoi ce truc !

Le phishing ! Et c'est quoi ce truc !

Le phishing, c'est de l'hameçonnage ! 

Ca nous fait une belle jambe non ! 

Sommaire :

  1. Qu'est ce que le phishing
  2. Comment s'en protéger
  3. En savoir plus
  4. Ce que dit la Loi
  5. Comment se faire indemniser
  6. Le phishing SMS ou comment des pirates vous vole 1 à 2 €
  7. La riposte au phising SMS
  8. Les exemples de phishing

En fait le site de CommentCaMarche nous met une belle définition je site :

Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking »,
désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage », est une
technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations
(généralement bancaires) auprès d'internautes.


La technique du phishing est une technique d'« ingénierie sociale » c'est-à-dire consistant à
exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par
le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement
une banque ou un site de commerce.


Le mail envoyé par ces pirates usurpe l'identité d'une entreprise (banque, site de commerce
électronique, etc.) et les invite à se connecter en ligne par le biais d'un lien hypertexte et de
mettre à jour des informations les concernant dans un formulaire d'une page web factice, copie
conforme du site original, en prétextant par exemple une mise à jour du service, une intervention
du support technique, etc.
Dans la mesure où les adresses électroniques sont collectées au hasard sur Internet, le
message a généralement peu de sens puisque l'internaute n'est pas client de la banque de
laquelle le courrier semble provenir. Mais sur la quantité des messages envoyés il arrive que le
destinataire soit effectivement client de la banque.


Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots de passe
des internautes ou bien des données personnelles ou bancaires (numéro de client, numéro de
compte en banque, etc.).


Grâce à ces données les pirates sont capables de transférer directement l'argent sur un autre
compte ou bien d'obtenir ultérieurement les données nécessaires en utilisant intelligemment les
données personnelles ainsi collectées.


Comment se protéger du phishing ?


Lorsque vous recevez un message provenant a priori d'un établissement bancaire ou d'un site
de commerce électronique il est nécessaire de vous poser les questions suivantes :
Ai-je communiqué à cet établissement mon adresse de messagerie ?


Le courrier reçu possède-t-il des éléments personnalisés permettant d'identifier sa véracité
(numéro de client, nom de l'agence, etc.) ?


Par ailleurs il est conseillé de suivre les conseils suivants :


Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur
et saisissez vous-même l'URL d'accès au service.


Méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare
(voire impossible) qu'une banque vous demande des renseignements aussi importants par
un simple courrier électronique. Dans le doute contactez directement votre agence par
téléphone !


Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en
mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https
et qu'un petit cadenas est affiché dans la barre d'état au bas de votre navigateur, et que le
domaine du site dans l'adresse correspond bien à celui annoncé (gare à l'orthographe du
domaine) !



Ce document intitulé « Le phishing (hameçonnage) » issu de CommentCaMarche (www.commentcamarche.net) est
mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette
page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Si vous en recevez transferer le message au compte "abuse" de l'organisme contrefait;

exemple : abuse@orange.fr, abuse@paypal.com, abuse@edf.fr, abuse@lescybers.fr (houps !!!)

Ensuite, par pure curiosité, j'affiche l'en-tête complète du message pour regarder l'adresse mail réelle de l'émetteur du message ; évidemment ce n'est jamais dans le domaine habituel de l'émetteur mais ça y ressemble : jamais creditlyonnais.fr mais souvent un truc bizarre du style z12345.creditlyonnais.ru

On peut également signalé la page sur laquelle le courriel renvoie à google pour analyse sur : https://www.google.com/safebrowsing/report_phish

**************************

En apprendre plus en lisant l'exellent article de Kaspersky : Cyber-menaces financières en 2013

ou encore le site de JDN.fr , phishing.fr ...

et pour avoir concience de l'énormité du phénomène allez voir les avertissements officiels sur EDF.FR , FREE.FR , ORANGE.FR , IMPOTS.GOUV.FR , etc ...

***************************

Ce que dit la loi sur le sujet :

Que risquent les « phisheurs » ?

Difficile à traquer, le « phisheur » risque gros une fois démasqué. En effet, l’auteur d’un « phishnig » pourra être poursuivi pour :

§  Usurpation d’identité,

Sur le fondement de l’article 434-23 du Code pénal, qui punit de 5 ans d’emprisonnement et 75 000 euros d’amende le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales.   Mais surtout, depuis la loi LOPSI II du 14 mars 2011, le « phishing » rentre dans le champ de la nouvelle incrimination relative àl’usurpation d’identité en ligne, que l’article 226-4-1 de Code pénal punit d’un an d’emprisonnement et de 15 000 € d’amende.

§  Escroquerie,

Sur le fondement de l’article 313-1 du Code pénal, qui punit de 5 ans d’emprisonnement et de 375 000 € d’amende « le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque […] ».

§  Contrefaçon de droits intellectuels (pages Web, marques, logo, chartre graphique..),

Notamment sur le fondement des articles L. 713-2 et L. 713-3 du Code de la propriété intellectuelle. Le propriétaire du site reproduit ou imité par le « phisheur » peut ainsi faire sanctionner l’usage de sa marque sur le fondement de la contrefaçon. C’est en ce sens que le  TGI de Paris s’était prononcé, le 21 septembre 2005, à l’encontre d’un étudiant qui avait créée une copie servile de la page d’enregistrement MSN, contrefaisant ainsi la marque Microsoft. Si la sanction prononcée était faible en l’espèce (500 € d’amende avec sursis et 700 euros de dommages-intérêts à verser à Microsoft), le délit de contrefaçon est passible de 3 ans d’emprisonnement et 300 000 € d’amende.

§  Collecte frauduleuse de données à caractère personnel,

Sur le fondement de l’article 226-18 du Code pénal, qui prévoit une peine de 5 ans de prison et de 300 000 € d’amende. 

§  Atteinte à un système de traitement automatisé de données,

Sur le fondement de larticle 323-3 du Code pénal, qui punit de deux ans d’emprisonnement et 30 000 € d’amende « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

Que risquent les « phishés » ?

A priori, pas grand-chose. Car si le « phishé » peut voir son compte en banque vidé en quelques minutes, il devrait pouvoir récupérer son argent sous bref délai. La banque a en effet l’obligation légale d’indemniser immédiatement la victime de l’arnaque à hauteur de ses pertes, à condition que cette dernière ait agi au plus tard dans les treize mois suivant la date du débit. C’est du moins ce que prévoit l’article L.133-18 du Code monétaire et financier : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

Protégé par la loi, le « phishé » devra encore surmonter la potentielle mauvaise foi de son banquier. En effet, face à la multiplication des demandes de remboursement liées au développement considérable de la pratique du « phishing », les banquiers ne suivent plus. Ils tenteront donc bien souvent d’échapper à leurs obligations en décourageant la victime de poursuivre la procédure d‘indemnisation. 
Que le « phishé » ne s’y méprenne pas, les arguments invoqués par son conseiller pour refuser ou retarder l‘indemnisation (obligation de déposer plainte, obligation de souscrire à une assurance de moyens de paiement…) doivent tous être invalidés. Par ailleurs, les conditions générales de la banque ne sauraient primer sur la loi, laquelle impose un remboursement immédiat.

Source :  JDN - Chronique co-écrite par Marion Barbezieux, Juriste .      

Phishing : comment se faire indemniser par sa banque

Vous avez été victime de phishing, et votre carte bancaire a été débitée à votre insu.

Votre banque doit vous rembourser immédiatement les sommes ainsi prélevées. 
Mais elle va vous mettre des bâtons dans les roues.

Que faire ? Après avoir fait opposition, vous devez  contester les opérations de débit survenues sur votre compte. Vous devez réclamer le remboursement intégral des sommes prélevées, en invoquant le Code monétaire et financier, article L 133-18.

Très souvent, votre banque va vous demander de déposer plainte au commissariat, ce qui vous fera perdre du temps mais lui permettra, à elle, d’en gagner.

Vous devez refuser : l’article L 133-19 du Code monétaire et financier dit que la responsabilité du propriétaire de la carte n’est pas engagée si le code confidentiel (à quatre chiffres) n’a pas été utilisé pour cet achat.

D’ailleurs, le ministère de la justice a demandé le 12 août 2011 aux procureurs généraux, d’indiquer aux officiers de police judiciaire de ne plus enregistrer de plaintes  liées à des fraudes à la carte bancaire.

Parfois aussi, votre interlocuteur va invoquer les « conditions générales de banque », qui lui donneraient le droit de vous demander une copie du dépôt de plainte. Or, les conditions générales de banque ne sont pas opposables à la législation, qui prime. Vous ne devez donc pas accepter.

L’excellent  dossier de Que Choisir montre, sur la foi d’un appel à témoignages recueillis entre le 1er septembre et le 1er novembre 2012,  que le délai de remboursement est très long – de quinze jours à plus de trois mois : pourtant, en cas d’incident de paiement, la banque peut facturer des frais, qui aggraveront la situation financière de son client, alors qu’il n’est pas responsable de ce qui s'est passé !

L’UFC constate que de nombreux frais bancaires (de recherche, de remplacement de carte ou d’opposition) liés à la fraude ne sont pas remboursés. Pourtant, la loi demande à la banque de « rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

Certains conseillers font de la désinformation, en prétendant que seule, la souscription d’une assurance des moyens de paiement aurait permis ce remboursement. C’est faux !

Pour protester, vous pouvez vous inspirer de ce modèle de lettre de l’Association française des usagers des banques (Afub).

Lire aussi La faute à qui? et Ne mordez pas à l'hameçon!
ou Ma banque a accepté un prélèvement sans mon accord
ou Pour ou contre l’action de groupe à la française ?

Source : sosconso.lemonde 

D'autre part Paniptinet nous signale :  

Une variante utilisant des SMS existe : si le procédé est généralement plus simple, et l’arnaque moins coûteuse pour la victime, le phishing SMS reste un fléau qui continue de piéger de nombreuses personnes.

Phishing SMS : un cas d’école

Les 5, 6 et 7 octobre derniers, une vague de SMS frauduleux a déferlé sur nos téléphones portables, nous incitant à composer un numéro surtaxé :

Bonjour, votre carte de crédit a été utilisée pour des paiements suspects. merci de nous appeler au 0 899 54 34 17 pour bloquer les transactions.
05/10/2012 19:43
De : Carte bleu

Exemple d'un SMS frauduleux récent (phishing)

Les personnes les plus inquiètes et les plus crédules ont alors composé le numéro surtaxé : un message indique la tarification de l’appel (1,34 € l’appel + 0,80 € la minute), puis une attente débouchera sur trois sonneries, avant que la communication soit coupée. En revanche, l’appel sera bel et bien facturé…

Comment ne pas se faire piéger par le phishing SMS ?

Les messages de phishing sont généralement assez inquiétants, d’où l’empressement des victimes à tomber dans le piège. Pour ne pas en faire partie, pensez à l’envers : dites-vous que plus le message est alarmant, plus la probabilité qu’il s’agisse d’un phishing est importante.

Par ailleurs, jamais votre établissement bancaire (ou opérateur téléphonique, etc.) ne vous avertira d’un tel problème par SMS (ou par mail) : il préférera vous appeler, en vous fournissant des informations qui prouveront qu’il s’agit bien du bon interlocuteur (vos noms et prénoms, numéro de compte, adresse, etc.).

En cas de doute à la réception d’un SMS, contactez l’interlocuteur annoncé pour vérifier qu’il s’agit bien d’un message officiel.

Comment lutter contre le phishing SMS ?

Lorsque vous recevez un SMS frauduleux, vous pouvez le transférer au 33700, sans le modifier : le 33700 est un service gratuit pour les clients Orange, SFR et Bouygues Telecom, et est facturé le prix normal d’un SMS pour les clients des autres opérateurs.

Ce service de signalement permet de collecter les numéros et les identités utilisés, afin de lutter contre cette forme de cybercriminalité. Pour en savoir plus sur le 33700, cliquez sur l’image ci-dessous.

*****************************

Quelques exemples de phishing (hameçonnage, filoutage)

Orange

Voici un exemple réel de phishing (hameçonnage) reçu par un utilisateur :

Exemple de phishing dans Thunderbird 2

On note ne particulier que le texte affiché en guise de lien ne correspond pas au lien réel : en positionnant le curseur sur le lien, on voit que l'URL affichée n'est pas l'URL réelle.

Cliquons néanmoins (uniquement à titre d'exemple, à ne pas faire chez soi !) sur cette URL malicieuse pour suivre ce lien plombé :

Firefox affiche une vilaine alerte

Votre navigateur affiche une alerte (le site a été signalé comme malicieux).

##############

Impôts

Autre exemple très en vogue actuellement (mi-octobre 2009) :Un mail de la DGI contrefait

Notez bien le lien malicieux et les nombreuses fautes de syntaxe qui laissent penser que ce n'est pas un francophone qui a rédigé ce message (mais plutôt un logiciel de traduction automatique).

Il faut savoir que .secure est très probablement un répertoire (car séparé par deux barres obliques) et que les fichiers et répertoires dont le nom commence par un . (point) ne sont pas affichés par défaut sur Unix ; un tel nom est probablement nommé ainsi pour que l'administrateur ne le voit pas.

La Direction générale des finances publiques demande de leur signaler ces messages frauduleux, cf. l'avertissement sur impots.gouv.fr.

Voici une capture de ce que la page à laquelle on accède en suivant un de ces liens :

site de la DGI contrefait

On note en particulier :

  1. que (notes 1 sur le schéma) les accents UTF-8 sont mal gérés : affiche du caractère � là où devraient figurer des accents ;
  2. quelques problèmes d'affichage (notes 2 sur le schéma) ;
  3. que l'URL n'est pas en impots.gouv.fr mais qu'elle l'affiche néanmoins…
  4. que l'URL n'est pas sécurisée : elle commence par http:// et non pas httpS:// donc en validant le formulaire, les données transitent en clair sur le réseau ce qui n'est pas la politique en vigueur au Ministère des Finances ;
  5. que le formulaire demande un numéro de carte bancaire, ce que ne fait jamais la DGI ;
  6. que l'adresse commence ici par une adresse IP mais pas par un nom dans le domaine impots.gouv.fr. Ici il s'agit de http://189.26.241.170/.site/fr/?http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement autrement dit :
    • vous vous connectez (en clair) à http://189.26.241.170/,
    • les fichiers sont dans un répertoire (caché sous Unix car commençant par un .) nommé .site,
    • avec un argument — probablement pour induire en erreur l'internaute — mentionnant le site de la DGI.

Remplir le formulaire et le valider à donc pour conséquence :

  1. d'envoyer vos coordonnées bancaires sur un site dont vous ignorez tout,
  2. à des gens dont vous ne savez quel usage ils en feront,
  3. le tout en clair (si une tierce personne lit le trafic au passage, elle dispose de vos coordonnées bancaires elle aussi).

En effet, rappelons une nouvelle fois que le protocole HTTPS utilise SSL/TLS. À ce titre, outre le chiffrement des données, il vous assure que le serveur avec lequel vous communiquez est bien qu' il prétend être.

Mise à jour 31 août 2010 : cette arnaque a été améliorée et, à croire que les escrocs nous lisent, corrigée des erreurs montrées ci-dessus.

Phishing impôts 2010

Le message électronique envoyé par info-fiscale@finances.gouv.fr, dont le sujet est Notification d'impot - Remboursement est un faux. Le message contient un lien vers http://novonet-mk.net/.webps/ ; lorsque la page est chargée, on note que l'adresse est :

http://novonet-mk.net/webp/impots.gouv.fr/fr/?http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement

Ici, quoiqu'apparaisse la chaînehttp://www.impots.gouv.fr, le vrai serveur est novonet-mk.net et tout ce qui suit le caractère ? n'est qu'un paramètre qui ne sert qu'à embrouiller l'internaute et lui faire croire qu'il est bien sur le site de la DGI.

Attention à l'URL !

##############

Attention au piratage de compte !

Cas classique : ce matin vous recevez un mail vous demandant de changer votre mot de passe ou que votre quota de stockage est dépassé. Exemple récent :

From: "Webmaster" <quota@webmaster.com>
Subject: URGENT: Expand Your Email Quota
Date: Fri, 27 Aug 2010 01:14:22 +0200
To: undisclosed-recipients:;

You have Exceeded the Storage Limit on your E-mail Box.

Due to the Low Storage, in 72 Hours from now, You will not be able to Send or 
Receive New E-mail Messages, until you upgrade your E-mail Quota.

Click the below Link and Fill the Form to Upgrade your Account.
http://plop.con/naif/

Webmaster Support Helpdesk
198.168.0.101.0

Naïvement, vous cliquez sur le lien http://plop.con/naif/ et vous renseignez le formulaire.

Félicitations, vous venez de donner votre identifiant (login) et votre mot de passe à un inconnu.

  • Quel intérêt pour l'inconnu en question ? Utiliser votre compte pour envoyer du spam avec votre identité.
  • Quel impact pour vous ? Changement de votre mot de passe brutal et blocage de votre compte. Éventuellement, vous pouvez être l'objet d'une procédure judiciaire.
  • Quel impact pour l'institution ? Un éventuel dépôt de plainte, dégradation de son image, éventuellement inscription de l'institution sur des listes noires (vos mails et ceux de vos collègues n'arriveront plus à destination…).

##############

FACEBOOK

##############

FREE

cf : http://www.freenews.fr/freenews-edition-nationale-299/free-mobile-170/attention-phishing-free-mobile-en-cours

##############

Date : 07/18/14 18:24:07
A : xxx@sfr.fr
Sujet : [SFR.fr] Creez votre nouveau mot de passe
 
SFR

Cher[e] Madame, Monsieur, 

Nous avons eu une tentative de piratage informatique et dans le doute nous vous conseillons un changement de mot de passe. Un nouveau mot de passe vas vous être attribué afin d accéder à votre compte sur le site SFR.fr


Pour créer votre nouveau mot de passe, utilisez le lien ci-dessous :

Créer votre nouveau mot de passe


Pour des raisons de sécurité, votre demande de changement de mot de passe expirera dans 7 jours (ou après que vous ayez créé votre nouveau mot de passe).

Merci de ne pas répondre à ce message.
 


TOUJOURS DISPONIBLE ET ACCESSIBLE

Retrouvez-nous sur sfr.fr, rubrique « Espace Client».
Cordialement
Valérie Callen
 
 
à BIENTÔT SUR SFR.FR


Merci de ne pas répondre directement à cet e-mail. Votre message ne serait pas traité. 

SFR - 42 AVENUE DE FRIEDLAND 75008 PARIS - S.A. AU CAPITAL DE 3 423 265 598,40€ - RCS PARIS 343 059 564

Conformément à la loi Informatique et Libertés, vous disposez d'un droit d'accès ainsi que d'un droit d'information complémentaire, de rectification et d'opposition sur les données vous concernant, utilisées par SFR et ses prestataires pour la gestion de votre compte et votre information sur vos services ainsi que pour toute opération de marketing direct. Vous pouvez vous opposer, dès la communication des informations à SFR, à ces opérations de marketing direct. Votre consentement préalable pourra par ailleurs être requis pour certaines opérations de marketing direct réalisées par voie électronique notamment s'agissant des opérations offrant des informations sur les offres et services de partenaires. Pour exercer vos droits, envoyez un courrier avec vos nom, prénom, numéro d'appel SFR et copie de votre pièce d'identité à : Pour les clients Abonnés mobiles ou si vous n'êtes pas encore client SFR : SFR Service Clients - Accès, Rectification, opposition - TSA 91121 - 57757 METZ CEDEX 9. Pour les clients Forfaits Bloqués : SFR Forfaits bloqués Service Client - Accès rectification opposition - TSA 21123 - 57757 METZ CEDEX 9. Pour les clients La Carte : SFR La Carte Service Client - Accès, Rectification, opposition - TSA 11122 - 57757 Metz CEDEX 9. Pour les client SFR neufbox et fixe : SFR neufbox et fixe - Données personnelles - TSA 30144 - 94098 CRETEIL CEDEX. 


##############

CDISCOUNT

et bien d'autres encore malheureusement !

 retour en haut .
               

1 Commentaires

    • Avatar
      Marie Chantal
      mai 17, 2017

      Merci de tous ces conseils

Mettre un commentaire

* Nom:
* Email: (Non divulgué)
   Site web: (Site url withhttp://)
* Votre commentaire: