Le phishing et ses améliorations
Toujours être attentif aux sites sur lesquels on saisit des données confidentielles...
Pour preuve, voici l'exemple d'un phishing remarquablement bien exécuté:
- Monsieur X reçoit un email de confirmation de commande provenant apparemment d'un site de confiance (ici Amazon).
- Monsieur X s'empresse évidemment d'annuler cette commande qu'il n'a pas passée et tombe sur une page d'identification:
- Page d'identification a priori valide avec le petit cadenas vert. Monsieur X poursuit et se rend sur une page permettant d'annuler sa commande avec ses données personnelles et - évidemment - son numéro de carte bancaire...
L'attaquant récupère alors les données bancaires de Monsieur X, ainsi que son mot de passe et ses coordonnées (adresse, téléphone), après une attaque bien menée. Si on regarde les détails du certificat SSL, on voit que celui-ci est fourni par Let's Encrypt, une autorité qui fournit des certificats gratuits (comme quoi une bonne intention peut se retrouver à la base d'une mauvaise action).
Moralité: le cadenas vert est certes un gage de sécurité, mais il n'est pas suffisant, ici le nom de domaine www.amazon.fr.cmd2017.bid n'appartient pas à Amazon. Il est donc recommandé d'être très attentif avant de saisir des données personnelles et de contacter le site en question (Amazon en l'occurence) pour toute suspicion concernant une démarche à effectuer.
Responsable des Opérations et de la Chaine d'approvisionnements.
7 ansUne excellente démonstration, Samuel Campos. Merci, ainsi qu'à Mohammed BOUMEDIANE pour ce partage d'expérience.