Phishing

Le phishing (et non pas filet o fish >_<) ou hameçonnage pour sa traduction française, est une technique permettant de récupérer des informations confidentielles auprès d'internautes non avertis.

C'est une technique dite de social engineering exploitant les internautes au moyen d'emails frauduleux se faisant passer pour leur banque, administrateur... et leur demandant de cliquer sur un lien hypertexte prétextant une nécessité de mettre son mot de passe à jour, etc.

Ce lien renvoie vers une copie du site et propose au moyen d'un formulaire de renseigner ses identifiants.

Les pirates obtiennent par ce moyen vos informations personnelles (numéro de client, numéro de compte...).

Diffusion

La principale source de diffusion pour le phishing s'effectue par mail. Les "Phishers" peuvent envoyer des millions de mails en utilisant les mêmes outils que les Spammers.

[à remplir]

Mise en place

Les 3 grands cheminements pour mener à bien une attaque de type phishing sont :

- Enregistrer un fake domaine
- Construire un site identique au site officiel
- Envoyer des mails à un maximum d'utilisateurs

Protection

Il existe divers moyens afin de se prémunir d'une attaque de ce type. Le premier est sans aucun doute de sensibiliser les internautes. Les banques ont très bien compris cela et n'hésite plus à indiquer à leurs clients, qu'ils risquent de recevoir des mails n'émanant pas d'eux. En effet, jamais la banque ne vous demandera votre mot de passe par mail !

Il existe des extensions pour les navigateurs web (Firefox, Opera, Internet Explorer...) permettant de se prémunir contre ce type d'attaque.

On peut cité Personal Anti-Phishing, Netcraft, FirePhish Anti-Phishing Extension, PhishTank etc.

Exemple

Voici un exemple de phishing Facebook envoyé par mail: