On parle de phishing quand la victime reçoit un spam qui ressemble à s'y méprendre à un e-mail envoyé par une respectable institution comme une banque. Ces messages demandent le plus souvent aux internautes de cliquer sur un lien pour, prétendument, mettre à jour leur compte ou pour prendre connaissance de promotions spéciales. Si, par malheur, l'internaute clique sur le lien, il est alors redirigé vers un faux site Internet qui demande de saisir des informations personnelles telles qu'un nom d'utilisateur, un mot de passe, ou des informations relatives à une carte bancaire. Une fois ces informations collectées par les cybercriminels, il leur est possible de se livrer à des usurpations d'identité, ou d'effectuer des transferts de fonds ou des achats à l'insu du titulaire légitime du compte bancaire.

D'autre part, les cybercriminels profitent aussi de l'essor des réseaux sociaux virtuels pour inciter les internautes à révéler des informations sensibles les concernant.

Crise économique et financière, explosion du phishing

Selon Cyveillance, firme spécialisée dans la veille sur la sécurité informatique, il y a eu un pic d'attaques de phishing en septembre et octobre dernier, coïncidant avec l'effondrement des marchés financiers. Si rien ne prouve cette corrélation d'une manière rigoureuse, il est néanmoins pertinent de noter que les auteurs de phishing sont très opportunistes et ont tendance à tirer profit d'événements dans l'actualité tels que la crise boursière.

En 2008, environ 80% des internautes adultes ont reçu au moins un e-mail pouvant être qualifié de phishing, contre quelque 41% en 2004, selon un rapport de Gartner. Sur le nombre de personnes ayant reçu des spams en 2008, la proportion de celles ayant donné de l'argent aux cybercriminels s'élève à 4,26%, ce qui représente une proportion considérable selon les critères "e-marketing", puisque le taux de réponse se situe, dans ce domaine, typiquement autour de 1,5%. Ces données semble signifier que les auteurs de ces attaques sont de très habiles experts en manipulation.

Le rapport de Gartner a également déterminé que PayPal, filiale d'eBay, a été la marque la plus attaquée en 2008, comme ce fut déjà le cas les années précédentes. Le second type d'attaques de phishing les plus répandues sont les spams liés à des loteries ou à des prix que l'on a soi-disant gagné. En troisième position ou trouve eBay lui-même, suivi par toutes les attaques de phishing émises par des prétendues banques.

En France, le Crédit Mutuel et LCL ont fait l'objet de campagnes de phishing particulièrement virulentes, les autres banques françaises n'étant pas épargnées pour autant, alors qu'aux États-Unis, Bank of America a été, et reste, la cible privilégiée des cybercriminels. Pour protéger leurs clients, les banques mettent en oeuvre des stratégies spécifiques, avec plus ou moins de succès. Chez Bank of America, les clients peuvent choisir une clé de site pour la banque en ligne, essentiellement un symbole tel qu'une croix ou une voiture qu'ils doivent voir à chaque fois qu'ils vont sur le vrai site web de leur banque. En plus de cette technique, les clients de Bank of America reçoivent un e-mail dès qu'un mouvement est détecté sur leur compte bancaire.

Par ailleurs, les clients reçoivent assez fréquemment des notifications par e-mail pour les mettre en garde contre les pratiques frauduleuses et les attaques de phishing, stratégie également mise en oeuvre par les principales banques françaises, Société Générale en tête.

Mais la sombre besogne des cybercriminels ne se limite pas à simuler de vrais sites de commerce en ligne ou de banques. Ils inventent aussi des marques fictives de loteries, de sites de rencontres, d'agences immobilières ou de laboratoires pharmaceutiques, qui sont des cibles plus faciles. En effet, il est toujours possible de s'adresser à sa banque en cas de fraude avérée, en revanche, les firmes pharmaceutiques - ou supposées telles -, ne sont en général d'aucun recours dans les cas de phishing.

La perte moyenne par internaute victime de phishing s'élevait à 269 € en 2008. Les internautes ayant subi des pertes financières à cause du phishing ont recouvré 56% de leurs pertes et la plus grande part des sommes récupérées l'ont été grâce aux banques de détail, à PayPal et aux autres prestataires de services financiers, selon Gartner. Toutefois, un certain nombre de victimes n'ont jamais récupéré leur argent, souvent parce qu'ils n'ont même jamais essayé de le récupérer, convaincus à tort qu'une telle démarche resterait forcément vaine. Le reste des victimes malheureuses n'ont jamais revu leur argent car il n'a pas été possible d'identifier et de localiser les auteurs de phishing, ce qui est fréquemment le cas avec les loteries et les prix "bidons".

Au cours du second semestre 2008, 159 nouvelles marques ont été la cible d'attaques de phishing. Depuis 2005, plus de 2 000 marques ont été attaquées, selon le rapport de Cyveillance. Cependant, toutes les marques ne sont pas des cibles potentielles pour les cybercriminels, ces derniers ne s'intéressant qu'aux entreprises et aux organismes qu'ils estiment "rentables", selon leurs critères !

Source : NewsFactor Network