La technique du phishing est une technique d'« ingénierie sociale » c'est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.

Voici un exemple de mail se faisant passer pour le Credit Lyonnais, comme vous pouvez le constater, le mail semble très véridique
Il faut savoir que les banques ne demandent jamais d'informations bancaires par mail.

Voici un autre exemple avec du phishing visant la banque BNP Paribas
Objet: Action requise de xxxx : Votre compte nécessite une vérification téléphonique
Dans ce mail d'hameçonnage, le nom et prénom sont corrects ainsi que l'adresse postale.
Ne donnez jamais vos informations bancaires sur internet - quelque soit le contenu de la page demandée et où le mail
Lorsque vous recevez un mail, si c'est un mail d'une banque qui conduit à un lien, supprimez directement.
Prenez le temps de regarder le lien qui est donné dans le mail, souvent il est trompeur.
Sachez aussi que l'adresse affichée n'est pas vraiment indicatrice sur l'identité du site, en effet, depuis peu les attaques utilisent les DataUri en inscrivant la vraie adresse de la banque alors que vous êtes sur un autre site.
Typiquement, l'adresse débute par data:text/html; suivi de la vraie adresse de la banque alors que vous êtes sur un autre site.
Exemple :


- Exemple de phishing avec Orange
- Quelques exemples de Phishing Paypal
- Phishing EDF
- Phishing Credit Mutuel
- Phishing LCL (Credit Lyonnais)
- Credit Agricole
- Exemple de phishing avec orange
- Quelques exemples de Phishing Paypal
~~
Un modèle de lettre type pour écrire à sa banque lors d'une constatation de fraude : http://www.afub.org/modele_lettre_CB.php
Le phishing peut être rapporté pour faire fermer la page sur le lien suivant : http://www.phishing-initiative.com/
Les emails de Phishing sont en général envoyés depuis des botnets (réseaux de machines infectées).
Par exemple, ci-dessous un pirate qui infecte des serveurs WEB : JB Botnet : Perl.Shellbot by Shellshock Bash Attack.
Ce dernier utilise les machines pour envoyer des emails de SPAM via des scripts PHP...

qui s'avèrent tous être du Phishing et notamment des entités espagnols, il a aussi parfois envoyer du Phishing Apple.

Sur les réseaux sociaux
Ces attaques par phishing existent aussi sur les réseaux sociaux.
Par exemple, sur Twitter, vous interpeller Paypal pour un problème de connexion à votre compte... Un faux compte Paypal, vous répond avec un lien piégé :

Protection contre le phishing / Hameçonnage
La première protection contre le phishing / Hameçonnage est l'utilisateur.
Etre critique sur les mails reçus et notamment les emails des services (Banque, EDF, FAI etc).
Dès qu'un mail vous parle de problème d'accès au compte, de paiement et donne un lien qui vous demande des informations sur votre compte (Nom, Prénom, mot de passe), vous pouvez être certains qu'il s'agit de Phishing / Hameçonnage.
Des services de Filtrage WEB gratuits existent sur vos navigateurs WEB les plus courant comme Internet Explorer, Mozilla Firefox et Google Chrome.
Les deux services les plus courant sont SmartScreen de Microsoft et Google SafeBrowsing de Google.
Lorsque vous tentez d'accéder à une URL malicieuse et notamment de Phishing/Hameçonnage, si cette adresse est connue, le navigateur WEB va bloquer l'accès avec un message du type :


Double authentification sur Paypal, Google etc
De plus en plus de services WEB proposent des doubles authentification... En plus de de la saisie par un mot de passe pour vous identifier à votre compte, un code envoyé par SMS est nécessaire.
Ainsi, si votre mot de passe WEB a été volé, le pirate ne pourra pas s'identifier sur votre compte.
> Sécuriser Compte Google : Validation en deux étapes
> Sécuriser son compte en ligne Paypal
Liens autour du phishing / Hameçonnage