On connaît bien le phishing, cette arnaque qui consiste pour l’escroc à se faire passer pour la banque ou tout autre service utilisé par sa victime afin de lui dérober ses informations personnelles. Généralement, une campagne de phishing démarre par un courrier soit-disant officiel envoyé en masse par l’escroc. Il espère ainsi tomber, un peu par hasard, sur quelques clients du service imité qui y répondront en envoyant leurs informations confidentielles.

Oui mais voilà : le phishing a tellement été utilisé (et il l’est encore !) que les internautes en deviendraient presque méfiants. Trop, en tout cas, au goût des escrocs qui font désormais évoluer leur stratégie.

Selon la société Cyota , spécialiste de la lutte contre la fraude, les plus récentes campagnes de phishing sélectionnent désormais leurs victimes afin de leur envoyer un courrier réellement personnalisé, et donc bien plus crédible.

Sur quels critères se fait donc cette fameuse sélection ? Les pirates s’emparent d’abord d’informations personnelles en masse (en pillant un site qui stocke de telles informations ou en les achetant à d’autres pirates). Récemment, plusieurs affaires de vol d’informations personnelles ont d’ailleurs été révélées tant chez de grandes banques que chez des prestataires spécialisés dans le stockage de ce type d’information.

Munis de ces données personnelles, les pirates peuvent envoyer des courriers plus vrais que nature : dans l’une des dernière campagnes de phishing citée par Cyota, par exemple, l’email reprenait le nom complet, l’adresse email exacte et le numéro de compte des clients d’une banque américaine. Il suffisait alors de compléter ces données par le numéro de code PIN de la carte bancaire et le code visuel de validation, comme le demandait le courrier aux couleurs officielles de la banque.

Mystifiés par autant d’informations personnelles bien réelles, beaucoup de victimes seraient tombées dans le panneau de cette dernière attaque. Et il ne s’agirait pas d’un cas isolé.

Face à cette nouvelle tendance, bien peu de réponses technologiques : les informations personnelles de millions d’internautes sont aujourd’hui stockées à travers le web chez absolument n’importe qui et sans aucune garantie quant à leur sécurité (même des entreprises spécialisées dans leur stockage se sont faites pirater !). Il est désormais trop tard pour tenter de contrôler la diffusion de ces informations. Quant aux solutions d’authentification forte capables d’identifier chaque partie lors d’une connexion (une banque et son client par exemple), elles sont encore loin d’être déployées en masse (trop chères !).

Il ne reste donc plus que le bon sens : ne communiquez tout simplement aucune donnée personnelle ! Votre banque n’a pas besoin de vous pour connaître les détails de votre compte. Votre fournisseur d’accès n’a pas besoin de confirmer votre numéro de carte bancaire. Et vous ne gagnerez pas cette paire de baskets en répondant à ce questionnaire (dont l’une des question, noyée parmi les autres, vous demande votre numéro de carte bancaire…)

Et finalement, dans le doute, téléphonez !