Ça n’est pas une erreur, c’est bien « phishing » et non « fishing », malgré que le terme en soit un dérivé. Nouvelle méthode de fraude prenant de plus en plus d’ampleur, le phishing est utilisé pour vous soutirer de l’information confidentielle. Le pire, c’est que les fraudeurs comptent sur votre participation. Voici comment.
Avez-vous déjà entendu parler du phishing? Voici la définition qu’en donne l’Office de la langue française (source : www.granddictionnaire.com – mettez ça dans vos favoris, c’est un trésor) :
« Envoi massif d’un faux courriel, apparemment authentique, utilisant l’identité d’une institution financière ou d’un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l’institution ou de l’entreprise, où le pirate récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage. »
On nous y donne également comme synonymes : hameçonnage, appâtage, hameçonnage par courriel et appâtage par courriel.
Depuis quelques années, le phishing est devenu une méthode de choix pour la fraude électronique. Mais comment peut-on se faire prendre si facilement, vous demandez-vous? Trop facilement, malheureusement.
Avec le courriel qui devient de plus en plus utilisé comme moyen de communication, la méfiance des usagers tend à diminuer au lieu de s’accroître. C’est sur quoi tablent les fraudeurs. Les habitués du Web qui font leurs transactions en ligne depuis belle lurette ont développé des « réflexes » courriel. Leurs habitudes et leur confort en ligne deviennent l’hameçon au bout de la ligne des fraudeurs.
Ils transmettent un courriel à l’usager (en fait, ils en transmettent à tout le monde, sans vraiment savoir s’ils sont des clients où non de l’institution ciblée pour la fraude, sachant que tôt où tard un client réel recevra le courriel) et, prétextant une panne ou même un bris de sécurité (!), enjoignent l’usager à aller « confirmer » ses nom d’usager et mot de passe pour accéder à ses comptes bancaires. Ils lui fournissent donc un lien à cliquer dans le courriel, qui les mène à une page Web ressemblant en tous points au site légitime de l’institution financière.
Mal en prend alors au client qui y entre ses données, car elles sont immédiatement enregistrées et réutilisées pour aller vider les comptes bancaires de ce dernier.
Le phishing ne se limite malheureusement pas aux comptes bancaires. Ils récoltent aussi bien des numéros de cartes de crédit que des dates de naissance, numéros de passeports et autres données confidentielles qui sont ensuite revendues et utilisées à de mauvaises fins.
Sachez que vous êtes le seul à pouvoir contrer le phishing et ce, de plusieurs façons :
- Ne répondez jamais à un courriel vous demandant de l’information confidentielle (NIP, codes d’accès, mot de passe, numéro de carte de crédit, etc.). Aucune institution financière ou autre entreprise qui se respecte ne vous le demanderait de cette façon, connaissant les risques.
- Si vous recevez un courriel qui vous demande ce type d’information, contactez immédiatement l’institution ou l’entreprise de qui le courriel est censé provenir en utilisant le numéro de téléphone que vous utilisez habituellement, et non celui qui pourrait vous être fourni dans le courriel.
- Vous n’êtes généralement pas ciblé personnellement par ces courriels. Ils sont envoyés en quantité, espérant toucher une cible qui suivra les instructions. Mais si vous avez des doutes, contactez l’institution ou l’entreprise de qui le courriel est censé venir et demandez de faire modifier vos codes d’accès et mot de passe.
- Développez une attitude défensive face aux courriels qui atterrissent dans votre boîte. En cas de doute sur la provenance ou la légitimité d’un courriel, vérifiez!
- Si vous devez faire des transactions sur Internet, que ce soit sur le site de votre institution financière ou autre, assurez-vous toujours que votre navigateur est en mode sécurisé (c.-à-d. que l’adresse du site débute par « https » et qu’un petit cadenas soit visible dans le bas de la barre d’état de votre navigateur). Utilisez toujours l’adresse habituelle que vous aurez conservée dans vos signets (favoris) et non un lien transmis par courriel qui pourrait vous mener ailleurs.
Il n’en tient vraiment qu’à vous de préserver vos données. Traitez chaque courriel comme un étranger qui sonne à votre porte. N’ouvrez pas à n’importe qui!
Une référence : Centre antifraude du Canada
Depuis 1997, je conseille et j’assiste les PME et les Solopreneurs dans la prise de décisions et le choix de solutions qui leur ressemblent et leur conviennent. On me consulte tout spécialement pour avoir l’heure juste quand l’arbre semble cacher la forêt et pour clarifier les réels besoins face à un nouveau projet difficile à cerner.