Le social engineering est la pratique de l'humain afin de lui soutirer à son insu des informations importantes voir vitales. C'est une pratique qui se fait beaucoup dans le domaine de la sécurité afin de gagner par exemple l'accès à des ressources normalement interdites.
N'amalgamons pas les deux, le fishing est une manière de faire du social engineering, en fait c'est une manière de faire croire à l'utilisateur qu'il est sur un site de confiance afin de lui soutirer des informations qu'il ne donnerait pas en d'autres circonstances.
Ce fishing existe depuis plusieurs années, mais devient de plus en plus complexe à repérer et de plus en plus sophistiqué.
Ou avant il n'y avait que quelques tentatives très éparses on en vient maintenant à des dizaines de mails chaque jour qui sont autant de chances de se faire avoir.
D'autant plus qu'avant les adeptes de cette technique étaient principalement étrangers (ce qui doit être encore le cas j'imagine) et utilisaient des sites en langue anglaise pour la plupart mais de plus en plus souvent ils visent maintenant le pays de réception du message dans sa langue originale et avec des sites plausibles pour ce pays.
Par exemple les principaux fishings sont des demandes de connexion d'une banque afin saisir toutes vos données confidentielles soit disant pour réparer une erreur informatique.
Bien entendu les banques ne font et ne feront jamais ce genre de demandes, mais les emails semblent si authentiques et les sites si réalistes que de nombreuses personnes se font avoir chaque mois.
Les dernières générations de navigateurs intègrent d'ailleurs des fonctionnalités qui sont censées vous prévenir quand vous naviguez sur un site qui est indiqué dans une liste comme étant un site pratiquant le fishing.
Mais vous imaginez bien qu'à la vitesse ou l'on peut créer des pages web et des sites, c'est totalement impensable de ne compter que sur ces options pour se sentir en sécurité.
En plus du bon sens vous pouvez désormais compter sur une initiative qui devrait permettre de créer des listes de sites reconnus pour être malhonnêtes plus complètes et plus réactives.
Ce site se trouve ici et se nomme Phistank.
N'importe qui peut s'inscrire et proposer des liens de fishings qui sont ensuite testés et validés.
La liste est accessible gratuitement, et peut être utilisée gratuitement aussi, mais pour l'instant à part spamassassin il n'y a encore que quelques applications qui l'utilise, on peut espérer qu'elle va s'étoffer rapidement, que le fonctionnement communautaire va continuer de marcher et qu'on la retrouvera dans la plupart des produits qui protègent l'utilisateur de ces sites malhonnêtes.
Aucun commentaire:
Enregistrer un commentaire