PHISHING

[k6hte]

La semaine dernière sur notre BAL , nous avons reçu plusieurs messages douteux
le 1er émanant soit disant de FR.fr (chez qui nous ne sommes pas client) qui était désolé , suite à une homonymie, de nous avoir prélever 179 € par erreur et si nous voulions recupérer cet argent ,nous devions cliquer sur un lien (signé par le nom du directeur commercial d'Oran..!!!!!!
Le même jour , message de soit disant Oran.. ( cette fois ci notre prestataire) pour nous annoncer la même bonne nouvelle ; trop perçu 89 € et le même processus pour rentrer dans notre argent
le lendemain message d" "un ange gardien "de notre CB qui a pris la précaution de la bloquer parce que quelqu'un de mal-intentionné avait tenté de la pirater . IL fallait rapidement cliquer sur un lien pour la débloquer
Nous sommes depuis longtemps abonnés à SECUSER et voici l'alerte que nous avons reçue ce matin


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
S E C U S E R A L E R T E 30/01/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phishing ciblant les clients d'Orange via le site Orange.fr
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Un courrier électronique envoyé en apparence par le fournisseur d'accès
Orange invite le destinataire à se connecter au site Orange.fr avec les nom
d'utilisateur et mot de passe fournis dans le message, pour envoyer divers
documents numérisés. Il exploite un défaut de conception du site Orange.fr
pour dérober l'identité des clients piégés. Plus d'informations :
http://www.secuser.com/phishing/2011/110130-orange.htm


PREVENTION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ne pas donner suite à un message non sollicité demandant de fournir des
données sensibles, même s'il semble provenir d'un expéditeur connu ou
digne de confiance. En cas de doute, vérifier la réalité de la demande
en se rendant sur le site officiel de l'organisation ou de la société
concernée, en saisissant manuellement son adresse dans le navigateur.


AIDE ET DISCUSSION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Qu'est ce que le phishing?
http://www.secuser.com/faq/phishing/#definition

Que faire en cas de phishing?
http://www.secuser.com/faq/phishing/#que_faire

Précédentes alertes phishing :
http://www.secuser.com/phishing/

Antihoax gratuit en ligne :
http://www.secuser.com/antihoax/gratuit/

Contacter Secuser.com :
http://www.secuser.com/contact/


FAIRE CONNAITRE SECUSER ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vous pensez que cette lettre peut rendre service à un proche :
http://www.secuser.com/services/invitation/



Bien qu'ayant aucun intérêt dans ce site , je le conseille car , il informe aussi des failles détectées sur chez "les Fenêtres", "la pomme " et dans bon nombre de logiciels installées dur nos ordis
Doudou

[Sylviebvs]

Il faut toujours être prudent quand il s'agit des comptes.

Ceci dit, ça peut pousser à des situations ridicules mais... tant pis !

J'avais eu un appel de ma banque pour vérifier ma date de naissance, adresse et n° de compte. Ca m'a semblé louche et j'ai dit que j'allais rappeler ma banque. Il voulait me donner son n° mais bien sûr, je voulais rappeler au n° des pages jaunes. Ce que j'ai fait et suis retombée sur le même gars, je me suis sentie un peu bête mais bon... dans le doute, je ne regrette pas !

[ProkoTwo]

Tu peux nous donner le nom de ta banque Sylvie ? qu'on n'y aille jamais, car ce genre de pratique ça va totalement à l'encontre des règles de sécurité de base . On ne peut pas parler de bon sens près de chez vous dans un cas pareil .
Et c'est pas toi qui a eu l'air bête, mais lui .

Pour le phishing en relation avec les FAIs et autres fournisseurs de téléphonie, le jour ou ces derniers auront des services client sérieux avec des procédures fiables et sécurisées et non pas des centres d'appel au fin fond du désert de Gobie , ça ira mieux .
Car les arnaqueurs profitent des failles de sécurité et du flou qui entourent les pratiques de ces commerçants douteux .

[ancoliebleue 03]

c'est quand meme simple de ne pas repondre a ces messages,je les ai eu de la part de soi-disant orange mais comme n'etant pas chez eux j'ai zappe
quelquesfois le simple fait de cliquer peut mettre en rapport avec un site malveillant

[k6hte]

bien sûr que c'est simple de ne pas répondre ! mais imagine un senior un peu angoissé , et toc , la manip est vite faite

[Sylviebvs]

C'est la Société Générale.

C'est vrai que c'est vite vu avec l'âge... surtout sur internet, déjà que les "anciens" n'y sont pas toujours bien à l'aise.

Et puis, la crédulité/naïveté est répandue : mon oncle, pourtant pas si âgé (55 ans) me fait suivre régulièrement des hoax par mails... sûrement convaincu d'aider les autres en les diffusant.

[Toona]

Je ne suis pas très sûr que les réactions soit liées à l'âge, je connais nombre de seniors très avertis! Sur le net comme dans la vie , on est qui on est...Pishing aussi ce matin soit disant de la part de free...pas donné suite bien sûr. L'utilisation du net est un bon remède contre la naïveté qui n'es plus du tout de mise dans notre belle société!
Pour les logiciels malveillants se souvenir simplement que tant qu'il n'y a pas de téléchargements...ya guère de risque et puis il va de soit que l'on ne peut aller sur le net sans un bon anti-virus! Je ne ferai pas de pub, dirai simplement que certains gratuits, sont même plus efficaces que les payants! Tout dépend de là où on va sur le net et de ce que l'on y fait; il faut ajuster ses outils à son utilisation....c'est comme en bricolage!

[k6hte]

Pour les logiciels malveillants se souvenir simplement que tant qu'il n'y a pas de téléchargements...ya guère de risque et puis il va de soit que l'on ne peut aller sur le net sans un bon anti-virus!:

Totalement faux , pour la plupart d 'entre nous l ordi est installé" avec windows par défaut et constamment des petits "génies "en informatique lui trouvent des failles qui peuvent leur permettre prendre contrôle de votre PC ou de certaines données , idem pour adobe, internet explorer , j 'en passe et des meilleurs pourtant présent au départ sur le PC
Pourquoi a t 'on de temps en temps des mises à jours? Pour palier ces problèmes. Or entre la faille et le parade , il se passe parfois quelques jours . Si entre temps on a été la cible ...................

Doudou

[Toona]

Ce que tu cites sont des applications ou des navigateurs, pas des anti-virus...je suis depuis les années 1980 sur le net sans jamais un virus sur l'ordi. Mais chacun son point de vue...et ses fonctionnements, l'essentiel est de s'en sortir!

[k6hte]

je répondais seulement à ce que tu disais que tant qu'on ne télécharges rien on ne risque pas grand chose . Bien sûr on risque moins qu'en téléchargeant mais on risque quand même
De toute façon mon message s 'adressait uniquement à ceux qui ne savent pas , et non aux autres
doudou

[kryxx]

il s'agit effectivement de technique trèèèès classique de phishing. rien a voir avec les banques ou FAI. il ne faut JAMAIS donner son compte de CB ou son mdp ou mail. et ne jamais cliquer sur le lien indiqué qui renvoie sur une image de la banque ou site et qui peut donc tromper.

[ProkoTwo]

C'est la Société Générale.

Ils sont effectivement renommés pour leur manière de gérer les risques .

[kryxx]

Je répète que les banques françaises sont plutôt sérieuses sur ces questions de sécurité (au moins sur celles ci )
il n'y a donc pas a jeter la pierre sur du phishing.

[ProkoTwo]

Relis l'histoire que nous a raconté Sylvie. Un banquier qui appelle une cliente qui ne le connait pas pour lui demander des informations "confidentielles" ne donne pas une image sérieuse de sa banque .
D'ailleurs une banque qui laisse un trader isolé prendre 50 milliards de positions sur les marchés a prouvé qu'elle est la pire à ce jour en matière de gestion de risques .

[kryxx]

je parle de sécurité informatique, pas de pratique commerciale

[Sylviebvs]

Le problème, c'est qu'on ne sait pas trop ce qui existe.
Enfin, les gens lambdas comme moi qui se servent d'internet mais ne se tiennent pas spécialement informé des nouvelles sécurités et des arnaques.

La première fois que j'ai eu le coup du code de la banque par téléphone portable par rapport à un achat sur internet, j'ai laissé tomber me demandant ce que c'était que cette arnaque...

Je me suis renseignée auprès de la banque qui m'a dit qu'il n'y avait pas de souci. Mais encore faut-il le savoir... ceci dit, je ne lis pas tous leurs prospectus non plus...

[kryxx]

nan mais un minimum de jugeotte comme tu l'as eu t'a permis d'appeler pour te le faire confirmer et ca, c'est donné à tout lem onde

[ProkoTwo]

je parle de sécurité informatique, pas de pratique commerciale

oui mais tu le sais, le maillon faible dans les systèmes informatiques ce sont les utilisateurs . La pratique la plus efficace pour pirater c'est le social enginering , dont fait partie le phishing . Donc si les banques avaient déjà des pratiques commerciales et de communication strictes du point de vue de la sécurité, le phishing ne serait pas possible .Le client saurait avec certitude que quelqu'un qu'il ne connait pas qui lui demande des infos par telephone ne peut en aucun cas être son banquier .

C'est peut être pas très clair, mais moi je me comprends..

[ProkoTwo]

Le problème, c'est qu'on ne sait pas trop ce qui existe.
Enfin, les gens lambdas comme moi qui se servent d'internet mais ne se tiennent pas spécialement informé des nouvelles sécurités et des arnaques.

le pire que j'ai vu il y a peu, des amis qui sont venus passer une semaine chez moi, la madame avait dans son sac un cahier ou elle tenait ses comptes avec dessus ecrits ses codes d'acces à sa banque en ligne et sa carte de clés personnelles ( permettant de faire des virements externes) scotchée au revers de la couverture
J'ai eu du mal à lui faire comprendre que c'est comme si elle se promenait avec toutes ses economies en liquide sur elle . D'ailleurs je suis presque persuadé qu'elle continue et qu'elle me prend pour un rabat-joie

[auronitens]

Salut .

Pour ce genre de messages , je pars d'un principe tres simple :

Un fournisseur , quel qu'il soit , n'a pas a me contacter par Mail .
Ma boite Mail est un outil de communication privé et personnel et qui est réservé a ma famille et a mes amis .
Les fournisseurs : Banques, Ebay, Paypal, Orange, Canal+, etc... peuvent toujours m'écrire ou me téléphoner s'ils ont quelque chose a me dire. Si c'est important pour eux : .. Soyez tranquilles , ils le feront .
Leurs messages Email , qu'ils émanent d'eux ou de ceux qui se font passer pour eux, sont systématiquement supprimés sans etre ouverts.

Adoptez cette démarche et vous ne risquerez plus rien des malfaisants.

[ProkoTwo]

L'idéal serait que tout le monde adopte le cryptage assymétrique des emails (style PGP) , il existe des solutions gratuites et la sécurité est totale . Mais très peu de gens font l'effort , c'est dommage .

[k6hte]

toutes les solutions que vous donnez sont excellentes , mais je répète que le souci est pour les personnes vulnérables , qui ont accès à internet ! hier j'ai entendu à la radio un gars qui avait bien failli céder à un pseudo notaire qui lui demandait ses coordonnées pour toucher un héritage pharamineux ; le gars semblait sensé , il a fallu que l'équipe à la radio lui prouve par "A+B" que c'était bien une arnaque , on le sentait moitié convaincu ... qui peut dire que demain , ou après demain (je vous le souhaite le plus tard possible ) il sera en possession de toutes ses facultés ?????

[ProkoTwo]

Une personne vulnérable le reste quelque soit l'endroit ou elle se trouve et les personnes avec lesquelles elle est en relation ( physiquement ou virtuellement) . la seule parade c'est une autre personne, de confiance , capable de mettre en place les barrières protectrices nécessaires .

[ro-zanna]

Pishing aussi ce matin soit disant de la part de free...pas donné suite bien sûr.

As-tu lu ou viré directement?
Je dis ça car perso, j'ai viré directement il y a plusieurs semaines...
Sauf que c'était un vrai email de Free; et j'ai découvert hier, par hasard, en consultant mon compte , que je paierai dorénavant 1.99 /mois en plus pour la TV .Regarde bien sur ton compte free, car la case 1.99 est chez moi cochée d'office. (mais j'ai le droit de la décocher! )
PS : Je n'ai pas reçu de courrier. Et c'est tellement pas clair que je ne sais pas, si en décochant la case, j'ai toujours accés à la TV via la console, ou si ça annule seulement l'accés via les application du type adslTV.
Conclusion : Y'a pas besoin d'être agé, ou de ne ne pas comprendre grand chose en formatique pour être ... vite démuni

[Toona]

Je ne suis même pas sur Free! mais si cela avait été le cas, j'aurais contacté directement par tel mon fournisseur d'accès...mais comme le dit Auronitens, généralement quand ils ont à me vendre quelque chose, ils me trouvent!
Et je ne pense pas que l'on puisse te faire payer d'office quelque chose que tu n'as pas souscrit de ton propre chef; heureusement, ils ne leur suffit pas encore de cocher une case à notre place