Phishing : ISS donne 3 conseils pleins de bon sens…

Depuis quelques jours, une attaque « phishing » vise des clients du Crédit
Agricole. Craig Stabler, responsable technique EMEA d’Internet Security Systems
formule quelques conseils, dont certains sont lapalissades….

Les clients du Crédit Agricole sont actuellement la cible d’une attaque par phishing (plutôt bien réalisée), qui sous le prétexte d’une mise à jour logicielle proposée par e-mail invite ses victimes à visiter un site à l’identité usurpée. Objectif, détourner des informations personnelles.

Comme d’habitude, un mail est envoyé en masse, les pirates espérant que dans le lot, des clients de la banque tombent dans le panneau.

Craig Stabler, responsable technique EMEA d’Internet Security Systems (ISS), récente filiale d’IBM, rappelle que le terrain d’action des pirates qui s’adonnent au phishing va des grandes entreprises internationales aux marchés locaux.

En France, le Crédit Agricole constitue la dernière cible en date, après la Banque de France, la Société Générale, le CIC, le CCF, le Crédit Mutuel, le Crédit Lyonnais ou encore BNP Paribas. Des attaques similaires ont également été menées contre la Citibank en Belgique, la Postbank néerlandaise ou le portail suisse Yellonet de Postfinance.

Et il devient de plus en plus difficile de repérer la supercherie. Récemment, un courriel mystifié de eBay conduisait l’utilisateur sur un site entièrement factice reproduit à la perfection: après avoir introduit son code d’accès et son mot de passe sur ce site, l’utilisateur était automatiquement transféré vers le ?vrai’ site web d’eBay.

Pour se protéger et limiter les effets des campagnes de phishing, Craig Stabler nous propose trois mesures simples :

1. Mettre en oeuvre une technologie de sécurisation

De nombreux adeptes du phishing pratiquaient autrefois le spam (ou envoi massif de courriels indésirables) ce qui explique les nombreux points de similitude entre ces deux menaces Internet.

Les solutions anti-spam permettent donc de retenir un assez grand nombre de courriels de phishing, mais la solution la plus efficace est celle qui vérifie aussi, dans les courriers entrants, la présence éventuelle d’un URL suspect dans le courriel mystifié, par rapport à une liste d’URL de phishing connus.

Parmi les solutions les plus prometteuses, figure un logiciel qui vérifie si l’adresse IP de l’émetteur correspond bien à celle de l’entreprise officielle. Cette technique n’est cependant pas encore au point pour l’instant.

2. Informer employés, clients et relations d’affaires

La technologie seule ne suffit pas. Le seul remède est de se profiler comme la cible la moins attrayante possible pour les ?Phishers’. Communiquez de manière extensive à vos clients et relations que vous ne leur demandez jamais de communiquer données personnelles par courriel et certainement pas via un hyperlien.

Consultez régulièrement les pages du site www.antiphishing.org pour vous informer des dernières nouveautés en matière de phishing et informez vos partenaires et relations si votre entreprise devait être victime d’une telle attaque. Demandez-leur de vous faire suivre les courriers suspects qui ?semblent’ venir de votre organisation.

3. Faire une déclaration !

Le dernier point est au moins aussi important que les précédents : n’hésitez pas à faire une déclaration à la police ou au juge d’instruction si votre entreprise est victime d’un abus sous la forme de courriels falsifiés.

Envoyez toujours le mail complet, avec l’en-tête du message ou le lien HTML complet du nepsite. Copier le contenu d’un mail suspect ne suffit pas car les autorités chargées de l’enquête ne disposeront alors pas des informations voulues pour rechercher l’émetteur.