Crédit Agricole
de la Corse

Vous recevez un e-mail...

...qui a l'apparence d'un véritable e-mail aux couleurs d'une société commerciale, comme une banque par exemple.

Qui vous demande d'effectuer une opération...

... comme vous connecter sur votre compte en ligne pour confirmer votre mot de passe, ou pour faire une mise à jour de vos données personnelles.

Sur un site identique à celui de votre banque...

... qui imite parfaitement son apparence, en général sous la forme de fausses pages de maintenance technique. Même l'adresse du site semble correcte.

On vous demande votre identifiant, votre mot de passe, votre numéro de carte bancaire, etc. On vous informe ensuite que tout s'est bien passé et que le problème est réglé. Vous êtes même remercié(e) sur la dernière page. En bref, pour vous, tout va bien.

Mais l'escroc a désormais tout loisir d'accéder à vos comptes...

... sur lesquels il est désormais en mesure d'effectuer, en toute "légitimité", toutes les opérations que vous êtes vous-même autorisé(e) à réaliser quand vous êtes connecté(e).

Certaines techniques utilisent des failles de sécurité dans les navigateurs Internet qui n'ont pas été mis à jour. Pour y remédier, suivez les conseils de la rubrique « Sécuriser mon ordinateur ». Veuillez répéter cette sécurisation au moins tous les trois mois.

Les e-mails ne sont pas sécurisés. En clair, tous vos e-mails peuvent être lus par quiconque se trouve sur le "chemin" reliant votre ordinateur à celui de votre correspondant. N'envoyez par e-mail aucune donnée confidentielle de type : mot de passe, coordonnées bancaires…

Les différentes formes du phishing

On distingue plusieurs types de phishing, les pirates trouvant chaque jour de nouvelles astuces pour tromper les internautes. Leur premier objectif : récupérer des fonds. Rien d'étonnant donc, si les escroqueries concernent souvent des services marchands et transactionnels en ligne.

Les faux e-mails de banques

Un des principes consiste à informer l'internaute que son compte risque d'être désactivé, que quelqu'un a essayé d'usurper son identité ou que de nouvelles mesures de sécurité sont mises en place.

C'est de loin le type de phishing le plus répandu, l'accès aux comptes en ligne permettant d'effectuer des virements.

Ce faux e-mail est reproduit à titre indicatif.

Les faux e-mails des sites marchands

Les grands sites de e-commerce, d'enchères ou de webmail sont également des cibles intéressantes car des numéros de cartes bancaires peuvent y être stockés. En effet, lorsque vous faites un achat, le site garde parfois en mémoire votre numéro de carte pour vous éviter de le saisir à nouveau lors de vos prochains achats. Veillez à protéger vos mots de passe et évitez dans la mesure du possible d'avoir recours aux services de mémorisation des coordonnées bancaires.

Le phishing par téléphone

Appelé aussi vishing. Des escrocs se servent maintenant du téléphone pour tenter de récupérer les identifiants bancaires de leur victime.

Un e-mail ou un appel téléphonique, prétendument émis par votre banque, vous informe par exemple qu'il y a des erreurs dans vos dossiers ou dans les transactions de votre compte. Ce message vous invite à contacter un serveur vocal censé appartenir à votre banque. Le serveur vocal vous demande de vous authentifier. Ce serveur vocal, qui appartient au pirate, récupère ainsi vos codes d'accès. Le pirate peut alors effectuer des opérations sur votre compte, à votre insu.

Il se peut aussi qu'un serveur vocal vous appelle directement et vous demande de vous authentifier immédiatement, sous de faux prétextes.

Le phishing par fax

Des escrocs se servent aussi du fax pour tenter de récupérer les identifiants bancaires ou de compte PayPal de leurs victimes.

Un e-mail prétendument émis par PayPal (système de paiement utilisé sur Ebay) ou par votre banque, vous informe qu'un pirate tente d'effacer le mot de passe de votre compte. L'e-mail, qui vise soi-disant à s'assurer que votre mot de passe n'a pas été utilisé de manière frauduleuse, contient un formulaire à remplir avec vos identifiants et à renvoyer par fax.

Le phishing par téléphone mobile

Des escrocs utilisent également le téléphone mobile pour tenter de récupérer les identifiants bancaires de leurs victimes.

Par exemple, un SMS envoyé sur le téléphone mobile des victimes confirme leur inscription à un site payant de rencontre sur internet (alors qu'ils n'ont rien demandé). Pour ne pas payer, le SMS leur demande d'annuler leur inscription en se connectant à un site internet. Evidemment, c'est un site pirate, qui va installer un cheval de Troie à leur insu, et pouvoir voler des informations personnelles, comme des identifiants bancaires.

Il se peut aussi que vous receviez un message (SMS ou MMS) pour vous connecter à internet depuis votre téléphone mobile (accès i-Mode ou WAP). C'est sans doute un faux site qui récupèrera vos identifiants bancaires.

Les fausses barres Google

Proposée par Google, la barre Google est un programme s'installant dans votre navigateur sous la forme d'une petite barre additionnelle. Son but : permettre d'accéder directement au moteur de recherche et bloquer les ouvertures de fenêtres intempestives.

Depuis le 5 Octobre 2005, une fausse barre du moteur propagée à partir de services de messagerie instantanée vise à récupérer les numéros de cartes bancaires.

Deux liens proposant le téléchargement de l'application frauduleuse circulent actuellement sur les réseaux de messagerie. L'activation de l'un d'eux mène l'utilisateur à une page piège qui démarre l'installation de la fausse barre Google tout en ouvrant un fichier d'aide Windows.

Une fois installée, rien ne distingue la fausse barre de la vraie, si ce n'est qu'elle lance à votre insu un programme espion nommé «World AntiSpy» destiné à récupérer certaines de vos informations personnelles.

Attention donc à ne jamais communiquer vos informations personnelles par e-mail, fax ou SMS, ni d'une quelconque autre manière.