Netcraft, firme spécialisée en sécurité informatique, a dévoilé une savoureuse affaire de « phishing » en France. Des clients de la BRED, banque française, auraient en effet été trompé spar un faux site. L'affaire est malheureuse, certes, mais ces derniers ont été dupés par une page en .fish. Ce qui est rigolo.

En 2017, on pourrait croire le phishing en phase terminale. Après tout, les précédents de cette méthode de piratage par ingénierie sociale devraient marquer les internautes et les aider à se montrer plus avisés. La réalité est malheureusement plus complexe. Le cas récent du phishing de la BRED (Banque régionale d’escompte et de dépôts) vient rappeler que notre vigilance n’est pas sans défaut, même lorsque l’entourloupe semble manifeste.

Phishé par un fish

En effet, dans notre cas, le premier lien conduisant à la page frauduleuse imitant la BRED est une page appelée parser.fish. Cette dernière conduit ensuite l’utilisateur vers un site a priori logé au Vietnam sur lequel l’internaute est invité à entrer ses données d’identification bancaire.

La fausse page de la BRED / Netcraft

Les pages .fish n’ont bien sûr pas été créées pour le phishing à l’origine, mais que l’URL qui serve à envoyer les clients vers une fausse page s’appelle poisson revêt un caractère ironique. A priori, selon Netcraft, l’adresse en .fish aurait été attaquée puis détournée par les hackers afin de servir de redirection vers leur page.

Les noms de domaine en .fish ne sont pas gages de phishing. Il s’agit en effet d’un suffixe générique — un nom de domaine de premier niveau pour être exact — n’étant pas lié à une géographie, comme .sexy, .tech ou même .xyz. Il est de fait utilisé à différentes fins même s’il reste très limité : toujours selon la firme, moins de 6000 sites l’utilisent.

De fait, l’internaute peut retenir deux choses de ce phishing : les hackers ont un zèle sans limite, jusqu’à se moquer de nous au point d’attaquer des pages .fish, et enfin — et surtout — qu’il est urgent de veiller sur les adresses apparaissant dans la barre de votre navigateur. Car au-delà du .fish, la page frauduleuse dispose également d’une adresse exotique qui devrait inquiéter tout le monde.

Netcraft

Partager sur les réseaux sociaux