Des pirates informatiques utilisent l’actualité du DSP2, une réglementation européenne qui renforce le niveau de sécurité bancaire, afin de piéger leurs victimes à travers des campagnes de phishing. Dernièrement, la plateforme gouvernementale cybermalveillance.gouv.fr a alerté sur une explosion de ces attaques et a rappelé les bonnes pratiques à adopter.

Cette technique, qui est l’un des vecteurs majeurs de la cybercriminalité, a pour but d’usurper l’identité d’une marque ou d’une organisation connue pour pousser la victime à lui attribuer des données personnelles, comme par exemple le mot de passe ou encore les données bancaires. Cette escroquerie commence par la réception d’un email ou d’un SMS qui semble légitime et provenant d’une réelle banque ou encore d’un service de paiement. Généralement, l’objectif du message frauduleux est la réalisation d’une action par son destinataire.

Le contenu du message reçu concerne le plus souvent la nécessité de mettre à jour certaines informations expliquant que la banque dispose d’un renforcement de la sécurité des accès aux comptes clients. De ce fait, les pirates informatiques exploitent des sujets d’actualités dans le but de crédibiliser leur demande. Le pirate invite la victime à suivre un lien frauduleux pour accéder à son compte en ligne. Celle-ci est donc redirigée vers un site web créé de toutes pièces par les pirates. L’objectif serait alors d’inciter la victime à rentrer ses identifiants. Après avoir terminé l’hameçonnage, elle est généralement redirigée vers le vrai site Internet de sa banque. Les données collectées par les pirates servent à mener des piratages liés au compte bancaire des victimes, des usurpations d’identités, des achats de biens ou de services, des paiements frauduleux etc.

Cybermaveillance.gouv.fr rappelle les bonnes pratiques à adopter. Il a précisé qu’une banque n’enverra jamais d’email avec un lien de redirection vers la page de connexion d’un compte personnel. Si l’utilisateur suspecte quoi que ce soit, il devra contacter sa banque. Il faudrait également signaler l’adresse du site frauduleux à « Phishing Initiative », un projet lancé en 2012 et développé conjointement par le CERT-LEXSI, Microsoft et PayPal.

La victime du phishing devra prévenir sa banque, faire opposition et réinitialiser son mot de passe. Il est aussi recommandé par Cybermalveillance.gouv.fr de déposer plainte car les pirates peuvent être poursuivis pour escroquerie, collecte de données personnelles par un moyen frauduleux, accès frauduleux à un système de traitement automatisé de données et/ou contrefaçon et usage frauduleux de moyen de paiement.