Retour à la presse
16 mars 2010
Une attaque de phishing extrêmement active, avec plus de 180 messages envoyés en 3 minutes, touche une grande partie des utilisateurs des services bancaires en ligne de la Barclays
De nombreuses personnes se demandent quoi faire maintenant que leur banque a changé de main depuis la crise. Quel que soit leur choix, il leur est fortement recommandé de ne pas cliquer sur les liens reçus dans des e-mails censés provenir de leur banque.
Aujourdhui, des clients de Barclays auront la surprise de trouver dans leurs messageries un e-mail semblant provenir de leur banque et leur demandant de vérifier les données de leur compte. Ils sont pour cela invités à cliquer sur un lien censé les rediriger vers le site Internet de la banque.
Lurgence de la question est appuyée par une information indiquant que « laccès au compte utilisateur à été temporairement suspendu ». Et au cas où cela ne suffirait pas à mettre un maximum de pression, les destinataires sont incités à saisir leurs données didentification « afin déviter dautres mesures », supposées limiter encore davantage leur accès aux services bancaires en ligne.
Le lien redirige en fait les utilisateurs crédules vers une imitation du site Internet de la Barclays, qui utilise plusieurs scripts PHP pour dérober des informations sensibles.
Mais lavidité des pirates ne sarrête pas là : après avoir indiqué leur nom et leur numéro de client, les utilisateurs sont dirigés vers une page où ils sont censés fournir des informations extrêmement sensibles, telles que leur code confidentiel.
Au cours de cette dernière étape, une demande dinformation apparemment anodine apparait concernant les 2 premières lettres de leur mot secret. Étant donné que cette information permet de retrouver le mot de passe de comptes bancaires en ligne, cette dernière étape devrait théoriquement alerter fortement les utilisateurs.
Afin déviter dêtre victime dattaques de phishing, veuillez suivre les cinq conseils ci-dessous :
Activer votre filtre antiphishing ainsi que vos autres applications ou suites de sécurité avant de consulter votre compte bancaire en ligne. Idéalement, installez, activez et mettez à jour une solution de sécurité fiable.
Assurez-vous que le site de services bancaires en ligne utilise le cryptage SSL (Secure Socket Layer) et des méthodes dauthentification sécurisées : vérifiez la présence du préfixe « https » et de licône du cadenas verrouillé. Si lon vous demande daccepter un certificat pour la session, vérifiez que le nom du certificat correspond au nom de linstitution avec laquelle vous souhaitez traiter et que le certificat est signé par une Autorité de Certification reconnue avant daccepter.
Évitez dutiliser un ordinateur non sécurisé (comme celui dun ami ou dun collègue). Si vous navez pas dautre solution, lancez au moins loutil danalyse en ligne de BitDefender, Quick Scan, avant daccéder à un site de services bancaire.
Ne consultez pas votre compte bancaire à partir dordinateurs publics connectés à Internet (dans une bibliothèque ou un cybercafé par exemple).
Si vous utilisez une connexion sans fil, assurez-vous que cette connexion est sécurisée et cryptée et que vous pouvez faire confiance à la personne qui possède ce point daccès ; évitez également dutiliser les connexions publiques non sécurisées (comme celles des aéroports ou des hôtels) lorsque vous vous connectez à un site bancaire. Enfin, si vous navez pas dautre solution, utilisez un clavier virtuel (comme celui qui est disponible dans Windows) pour saisir vos données sensibles. Bien que cette technique ne soit pas sûre à 100%, elle vous protègera de la plupart des keyloggers.