|
Le phishing a pour but d'extorquer des informations confidentielles aux internautes.
Chaque acte de phishing est effectué en abusant de l'image et de la confiance que l'on accorde à de grands organismes reconnus au niveau international. Ceux-ci paient également le prix fort des attaques de phishing.
On peut par exemple citer la banque anglaise NatWest qui s'est vu forcée, début novembre 2004, de suspendre provisoirement une partie de ses services en ligne afin de ne pas subir les contrecoups d'une attaque de phishing à grande ampleur lancée à son encontre.
Le phishing concerne ainsi autant :
-
les internautes qui peuvent voir leur compte bancaire vidé ou leurs informations personnelles exploitées par des pirates,
-
que les organismes visés par les attaques de phishing qui voient alors leur réputation atteinte par la portée de ces attaques et par l’usurpation de leur identité.
Des organisations pour lutter contre le phishing permettent de suivre l’évolution de cette menace. On peut citer par exemple l’APWG (l'Anti-Phishing Working Group) créé en novembre 2003 afin de recenser et de centraliser les attaques de phishing et de mener des études et analyses sur la propagation du phénomène afin de mieux le connaître et de tenter de le maîtriser par la sensibilisation des utilisateurs aux procédés et aux risques du phishing.
Cette organisation réunit des sociétés de services, des banques, des institutions financières, des cybermarchands et de nombreuses autres entreprises sur Internet.
Depuis l’apparition des premiers cas de phishing, il y a fort à parier que chaque internaute a reçu au moins une fois dans sa messagerie un e-mail d’appât pour une attaque de phishing. Il est donc primordial de ne pas tomber dans le piège et de détecter l’attaque dès la réception du message initial. En effet, une fois sur le site Internet, il est bien souvent trop tard pour réagir et éviter
Pour toutes les entités connectées à Internet, internautes ou organisations, il subsiste un autre risque. Outre le fait d’être la victime d’une arnaque ou de voir son nom usurpé pour une campagne de phishing, le risque d’être un intermédiaire de cette attaque est présent.
Les phishers, afin de brouiller les pistes, se cachent souvent derrière d’autres ordinateurs pour lancer leurs attaques. Ainsi, toute entité connectée à Internet peut passer pour être à l’origine de l’attaque.
Des analyses ont montré que des ordinateurs d’internautes infectés par certains virus et transformés en machines zombies, sont utilisés à l’insu de leur propriétaire pour lancer des campagnes massives de spams, premier pas vers le phishing. De même, des serveurs Web d’organisations de confiance sur Internet peuvent être compromis pour héberger, sans que les administrateurs de ces serveurs ne le sachent, les sites Internet pirates, copies de sites officiels, utilisés dans les attaques de phishing.
Non seulement, les internautes et les organisations peuvent être abusés par le phishing mais, à leur tour, ils peuvent devenir un maillon essentiel pour piéger d'autres victimes potentielles. D’un point de vue légal, si un manquement avéré de moyen de protection est prouvé et si un préjudice est causé par ce manquement, les conséquences légales pour ces victimes, non pas de l’escroquerie de phishing mais plutôt d’être passé acteur dans les attaques, sont très importantes.
 |
SOUS-RUBRIQUES
|
|
