Attention : hameçonnage, phishing ou comment se faire usurper son identité

La définition de Wikipédia ne mérité pas d'être corrigée : "L’hameçonnage, ou phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels :mot de passe, numéro de carte de crédit, date de naissance, etc."

Voyons un exemple de ce jour (28 janvier 2013). Les images ci-dessous sont cliquables pour être mieux observées.

J'ai reçu dans mon email le message suivant :

 

Relance d'achat ? Je ne suis pas au Crédit Mutuel et mon attention est ainsi alertée. L'email qui poste ce message est "contact@laconseillere.com" et non, comme il se devrait, contact@creditmutuel.fr par exemple.

Le message évoque "le blocage" de ma carte bancaire et donc de mes "futurs achats", prétexte pour acquérir des informations personnelles.
Astucieux : le lien est en https ; le s final indiquant un lien sécurisé. Mais en fait quand on clique on ne tombe pas sur l'adresse indiquée, ni sur un lien sécurisé !

Mais sur un lien qui devrait attirer l'attention : identification.creditmutuel.fr.cottondepottextile.com ! Que vient faire "cotton (avec 2 t) dépôt textile" au Crédit Mutuel ? Du grand n'importe quoi mais qui peut passer inaperçu. Les champs de saisie "identifiant" et "mot de passe" acceptent n'importe quels codes. L'important pour les escrocs est que vous passiez à la page suivante. Les autres liens conduisent effectivement vers des pages du vrai Crédit Mutuel.

Voici donc la page où non seulement vous allez vous faire voler votre argent, mais aussi vote identité numérique.
Comme sur les sites marchands, il est demandé le type de carte (Visa ou Mastercard), son numéro, sa date de validité et les trois derniers chiffres du cryptogramme. Si vous fournissez ces informations les escrocs s'en serviront et acheteront pour plusieurs milliers d'Euros en votre nom dans les heures qui suivent.

On peut remarquer que le code secret à 4 chiffres n'est pas demandé.

Si vous avez rempli les champs "adresse email" et "mot de passe", en haut de la page, vous êtes encore plus mal. Immédiatement les escrocs ouvriront votre boîte email et changeront le mot de passe. Si le site marchand où ils dépensent allégrement votre argent demande une confirmation-authentification par mail, ils pourront répondre que vous souhaitez bel et bien tel ou tel achat ! Vous-même n'aurez plus jamais accès à votre boîte email. De plus ce vol de boîte email pourrait être le premier pas d'une véritable usurpation d'identité, plus grave encore...

Les informations relatives à votre carte bancaire ne doivent être fournies que sur des sites connus, type priceminister ou amazon. Le code secret quant à lui ne doit jamais être indiqué que ce soit par mail ou par téléphone ou tout autre moyen. Il ne doit exister que dans votre mémoire.

Le mail de phishing a été tranféré au Crédit Mutuel, qui a rapidement répondu :

"Bonjour,

Nous vous remercions de nous avoir communiqué cette tentative de phishing.
Nous transmettons votre courriel à notre service technique qui prendra toutes les mesures nécessaires.
Vous ne devez répondre en aucun cas à ces demandes frauduleuses.

Pour toute information, vous pouvez consulter notre site 

Cordialement"