Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancêe
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
Pratique
Risques
Publications
*
Fiches thématiques
*
Politique de sécurité
*
Présentations
arrow Dossiers
*
Recherche
*
Analyse des risques
*
Outils
*
Articles
Documentation

> home > Publications > Dossiers > Phishing > 4. Phishing - Comment cela fonctionne-t'il ?

4. Phishing - Comment cela fonctionne-t'il ?

 One up

Table des matières

4.1. Les 4 principes du phishing

Le phishing profite de la crédulité des utilisateurs et repose sur quatre principes :

  1. Usurper l’identité d’une organisation de confiance pour collecter les données personnelles des clients de cette organisation,
  2. Demander, sous un faux prétexte, de fournir des informations personnelles,
  3. Rediriger la victime vers un site Internet pirate mais identique au site Internet officiel de l’organisation usurpée pour que la victime saisisse les informations demandées,
  4. Exploiter les données collectées pour usurper une identité dans le but d'obtenir des avantages et services (argent, biens, papiers d'identité et documents administratifs).

4.2. Détail du déroulement d’une attaque de phishing

Animation PPT

[1] La première incursion du phishing se fait par le social engineering et la manipulation. Un mail semble provenir d’une organisation digne de confiance et l’adresse expéditeur semble corroborer cela.

[2] L’internaute est incité à donner des informations personnelles. Cette demande se fait au travers d’un e-mail à l'apparence officielle et demandant de fournir des informations sous un faux prétexte. L’e-mail demande bien souvent d’agir dans l’urgence.

[3] Pour accélérer la procédure, il suffit de cliquer sur le lien donné dans le message pour se connecter sur le site Internet sur lequel effectuer l’action demandée. La victime est à présent connectée sur un faux site Internet sous le contrôle du pirate.Une fois la redirection effectuée, l'utilisateur est sur un site Internet conçu de manière à être identique en tout point au site officiel. En réalité, ce site pirate est différent du site officiel mais sa véritable adresse est dissimulée à la future victime par divers moyens (exploitation de vulnérabilités du navigateur Web par exemple).

[4] La victime, en confiance, saisit les informations demandées et qui sont en réalité envoyées au pirate qui peut alors s’en servir quand bon lui semble.

Le succès des campagnes de phishing s’appuie sur la probabilité que de nombreux internautes se sentiront concernés par le message et agiront selon les souhaits du phisher. Afin d’augmenter cette probabilité, le premier mail est envoyé comme un spam : non sollicité et envoyé en masse, afin de toucher le plus grand nombre d’internautes et parier sur le fait que certains, en tant que clients de l’organisation dont le nom est usurpé, se sentiront concernés et seront donc plus enclins à tomber dans le piège du phishing.

Suite du dossier

Level Icon SOUS-RUBRIQUES
Fade
Fade 1


Haut de page


  Dernière mise à jour de
  cette page le :
  07-11-2007

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact