Le phishing, smishing et le vishing

Ce termes sont utilisés pour décrire l’exploitation des failles humaines et sociales d’une organisation ou d’un individu dans le but d’obtenir un service ou des informations clés. Le fraudeur utilise en général son charisme, son culot, il abuse de la confiance, de l’ignorance et de la crédulité des personnes ciblées.


Social engineering par email ou SMS : le phishing et smishing

Le phishing et le smishing se présentent le plus souvent sous la forme d’un email ou SMS contenant un lien vers un site web frauduleux ayant l’apparence d’un site web légitime. Les emails ou SMS de phishing tentent de se faire passer pour un message légitime envoyé par la banque. Très souvent, les fraudeurs jouent sur l’aspect psychologique de la victime en créant un stress et un faux sentiment d’urgence. Voici 2 exemples d’emails de phishing ciblant les clients d’ING Luxembourg disposant d’un accès à My ING ou My ING Pro et d’une carte de crédit Visa. 

Exemple 1

Le véritable expéditeur n’appartient pas au domaine « @ing.lu » mais à un domaine proche du contexte de la banque dont le but est de mettre en confiance le destinataire. Le texte du lien invite à cliquer, et pourtant, en le survolant, on s’aperçoit que celui-ci ne pointe pas vers une page du site https://www.ing.lu mais vers un autre site malveillant.

Exemple 2

L’expéditeur semble appartenir au domaine «@ing.lu », mais en réalité, il n’en est rien. En effet, la manière dont fonctionnent les protocoles emails sur internet n’empêche pas l’usurpation de l’adresse email d’un émetteur donné. Le destinataire de ce type d’email (on parle ici de « email spoofing ») est alors mis en confiance. Le texte dépeint à nouveau une situation d’urgence, invitant la victime à réagir rapidement en appelant un numéro de téléphone qui n’est pas celui d’ING Luxembourg. Alternativement, l’attaquant aurait pu inviter la victime à visiter une fausse page web ING afin qu’elle y saisisse des informations personnelles et confidentielles.

Social engineering par téléphone : le vishing

Le vishing se présente sous la forme d’un appel téléphonique d’une personne prétendant être un employé de la banque ING et dont le but est de collecter des informations personnelles et confidentielles. Les fraudeurs jouent souvent sur l’aspect psychologique de la victime en créant un stress et un faux sentiment d’urgence. Un cas fréquent consiste à vous demander vos identifiants My ING ou My ING Pro pour soi-disant lever un blocage de sécurité. Dans un autre cas, le fraudeur prétend faire partie du service informatique de la banque ou du support Microsoft et vous invite à télécharger puis installer à partir d’un site web malveillant une mise à jour de logiciel, voire un nouveau logiciel, qui est en fait un malware.

Comment pouvons-nous vous aider ?

Appelez-nous

Du lundi au vendredi, de 8 h 30 à 17 h 30

Envoyez-nous un email

Envoyez votre demande à notre contact