|
Le phishing associe les mécanismes :
- d'envoi d'e-mails :
- en masse,
- non sollicités,
- spoofés (usurpation de l'adresse de l'expéditeur par l’adresse d'un organisme digne de confiance à l'encontre duquel est lancée l'attaque de phishing).
- de création d'un site Web frauduleux usurpant l'image et le design d'un institutionnel digne de confiance que l'on souhaite usurper.
Quand le phishing est apparu, la nouveauté était l’utilisation conjointe de plusieurs méthodes existantes dans le but de créer une nouvelle menace ayant ses mécanismes et ses buts propres.
On peut donc proposer une définition du phishing comme la conjonction des éléments suivants :
|
phishing = spam + mail spoofing + social engineering + URL spoofing + scam + URL cloaking + pratique mafieuse
|
La pratique du phishing consiste à attirer l'internaute à l’aide d'e-mails non sollicités[1] comme envoyés d'adresses officielles[2].
Le contenu de l'e-mail reçu incitant [3] la victime, sous couvert d’une fausse raison, à cliquer sur un lien proposé dans le message.
Le lien est en réalité malicieux et conçu pour usurper une destination de confiance[4], ce qui a pour conséquence de conduire l’internaute sur un site Web visuellement identique au site officiel pour lequel il se fait passer[5] mais dont la véritable adresse est dissimulée aux yeux de l’internaute victime[6].
L’internaute étant conforté dans son idée d'être connecté au site officiel est à présent enclin à renseigner des informations personnelles qui seront exploitées par le phisher[7].
[1] : spam
[2] : mail_spoofing
[3] : social engineering
[4] : URL Spoofing
[5] : scam - voir l'annexe
[6] : URL Cloaking
[7] : pratique mafieuse
|
