|
Une nouvelle méthode de phishing a été relevée : des pirates se faisant passer pour une banque proposent en échange de quelques réponses à un faux sondage, de virer 20$ sur un compte bancaire ouvert dans cette banque. Pour obtenir cette récompense, les futures victimes sont redirigées à leur insu vers un site malicieux reprenant l’empreinte visuelle du site Internet officiel de la banque. C’est sur ce site Internet, sous le contrôle des pirates, que les victimes vont laisser leurs informations bancaires qui seront exploitées par ces malfrats dans le but de vider leur compte bancaire.
Cette nouvelle campagne de phishing se différencie des autres par la manière employée pour piéger les victimes. Tous les aspects du social engineering sont exploités pour diminuer la vigilance des internautes et ainsi les inciter à divulguer, sans se poser trop de questions, des informations personnelles et sensibles qui seront exploitées ultérieurement.
Ci-dessous une copie d’écran de l’e-mail reçu, incitant à répondre à la fausse enquête pour recevoir en échange 20$. La banque dont le nom a été usurpé dans cette campagne de phishing est la banque américaine Chase Manhattan.
Source : SOPHOS
Recommandations
Les internautes utilisant les services de banques en ligne doivent être sensibilisés à tous les trucs et procédés qui peuvent être mis en œuvre et exploités contre eux pour leur dérober des informations personnelles. Ils doivent de plus être extrêmement prudents quant aux sites Internet auxquels ils confient des informations personnelles.
De plus, nous vous incitons à vous reporter au dossier CASES sur le phishing et en particulier sur les moyens de protection à mettre en œuvre pour ne pas tomber dans ce piège.
Nous vous recommandons également d’avoir un sens critique sur la nature et la motivation des informations demandées. Dans le cadre de cette campagne de phishing, on peut par exemple se poser la question suivante :
Pourquoi est-ce que la banque chez qui je suis client depuis plusieurs mois ou plusieurs années me demanderait des informations bancaires aussi précises alors qu’elle me connaît bien et qu’elle est déjà en possession de ces informations ?
Ceci attire l’attention sur la motivation de la requête formulée : le principe de nécessité et de proportionnalité n’est plus respecté.
Il ne faut jamais hésiter à contacter directement la banque pour s’assurer de la véracité de cette campagne. Dans le doute et dans l’attente de la réponse, il est bon de s’abstenir de donner toute réponse et toute information personnelle : il est plus prudent de perdre hypothétiquement 20$ que de se faire voler le montant déposé sur son compte en banque.
 |
Pour en savoir plus ...
|
 |
|
