Un hameçonnage (phishing) efficace destiné à récupérer le mot de passe associé au compte client Amazon et/ou au compte mail de victimes ni assez attentives ni assez prudentes fait fureur depuis plusieurs mois.
La victime reçoit un email frauduleux « confirmant » une commande passée chez Amazon et proposant un lien permettant l’annulation de cette prétendue commande. L’email frauduleux contient souvent les coordonnées de la victime ou au moins ses nom, prénom et adresse email, ce qui peut induire le destinantiare en erreur, et lui faire croire que le message provient bien d’Amazon. Comme la victime n’a évidemment jamais passé cette commande (et n’est parfois même pas cliente d’Amazon), la tentation est forte pour elle de tenter de l’annuler aussi vite que possible.
Un vieux pêcheur assis sur un filet fume la pipe en méditant sur celles et ceux qui ont mordu à l’hameçon du faux email de confirmation de commande Amazon. Source : 18 Villerville. Pêcheur. Desconegut; Bera, A. Ajuntament de Girona.
Le lien proposé pour l’annulation dans ce faux message de confirmation de commande conduit à une page Web ressemblant à s’y méprendre à une page du site d’Amazon. Sur cette page, la victime est invitée à saisir son adresse email ou son numéro de mobile et son mot de passe. La précipitation diminuant la vigilance, la victime s’exécute sans réfléchir. Comme ce mot de passe est souvent le même que celui associé au compte email de la victime (notamment chez son fournisseur d’accès), il se trouve offert à l’expéditeur du feux mail de confirmation de commande sur un plateau, qui s’en servira probablement pour toutes sortes de choses peu recommandables, comme inonder d’autres victimes de messages non sollicités…
Ces informations recueillies par tromperie sont parfois jetées en pâture à qui veut s’en saisir par les auteurs de la fraude, notamment sur des services Web tels que Pastebin. Des services tiers qui surveillent et archivent les éléments postés publiquement sur ces sites Web comme par exemple PasteMonitor, permettent de repérer en choisissant les bons mots-clés (comme par exemple confirmation-commande), ces publications sauvages de couples email / mot de passe.
Pour se prémunir contre cette fraude, il faut réfléchir à deux fois avant de se précipiter pour corriger une erreur qui n’existe pas, mais il est très difficile de résister à la tentation de le faire. L’envie de corriger une erreur, d’autant plus qu’on pense qu’elle pourrait avoir des conséquences financières, tend à abolir le jugement. Et si l’on cède, les conséquences seront moins importantes si l’on a pris l’habitude de ne pas utiliser le même mot de passe et les mêmes informations d’identification à plusieurs endroits.