URL et le phishing

Cet article a d’abord été publié par 90 degrés sur le Blogue marketing interactif de l’AMM-PCM.

Comme plusieurs, je suis client chez Desjardins. Et comme plusieurs, je reçois régulièrement des courriels frauduleux où un escroc me prend pour un poisson. Cas classique de phishing (hameçonnage) : on m’avertit que mon compte AccèsD va bientôt expirer, et on m’invite à cliquer (puis à m’enregistrer avec mon mot de passe) pour régulariser la situation. J’ai même reçu une version plus subtile : un bulletin identique à ce que Desjardins m’envoie régulièrement! Si je mords à l’hameçon, je viens de donner à un fraudeur l’accès direct à mon compte de banque.

Le problème est assez sérieux pour que Desjardins maintienne un gros avertissement en rouge en haut du formulaire d’enregistrement. Dans ce contexte, je m’attendrais à ce que Desjardins et les autres institutions financières fassent tout pour se distinguer des fraudeurs.

Eh bien ce n’est pas tout à fait le cas!

Qu’est-ce qui distingue un courriel légitime d’un hameçonnage bien fait? L’URL.

Prenons un exemple réel. Imaginez que vous recevez deux courriels dont la mise en page est conforme à ce qu’envoie Desjardins.

Le premier courriel vous propose d’apprendre à vos enfants comment épargner. Le lien est obscur : www2.kinumok.com/maestro/link/58166440/1086/-/lnk.htm (j’ai modifié ce lien pour qu’il ne fonctionne pas). Ce lien vous redirige automatiquement vers une adresse Web que vous n’avez jamais vue : http://www.dsf-dfs.com/fr-CA/_Utilitaires/Blltns/Artcls/ApprnzEnfntsEprgnrBlltn.

Le deuxième courriel vous propose au contraire des adresses claires et simples. Par exemple, celle servant à s’inscrire à un concours de Desjardins : www.dessjardins.info/concoursdjd.

Votre conclusion?

Bien sûr, ce deuxième courriel est une fraude. Vous avez remarqué les deux « s » dans « dessjardins ».

Et le premier courriel? J’ai vérifié dans mon fureteur le nom de domaine servant à faire la redirection. Façon rapide de savoir à qui j’ai affaire… Sauf que « kinumok.com » et « http://www.kinumok.com/ » génèrent des messages d’erreur… Inquiétant n’est-ce pas?

Après vérification, j’ai tapé le « 2 » dans « www2.kinumok.com ». Voilà, ça fonctionne : le serveur appartient à des gens tout à fait honorables, et qui d’ailleurs font assez bien leur travail pour gagner des prix! C’est donc probablement un bulletin régulier de Desjardins.

Mais alors, pourquoi l’URL final est dsf-dfs.com plutôt que desjardins.com? Vous êtes brillant, vous avez donc deviné que cet URL est formé de l’acronyme de Desjardins Sécurité Financière, suivi d’un trait d’union, suivi de l’acronyme de Desjardins Financial Security (pour ma part, comme 99 % des clients de Desjardins, je n’avais pas deviné).

La situation n’est pas particulière à Desjardins ou à son fournisseur. C’est une situation très fréquente que j’ai aussi constatée chez d’autres institutions financières.

Votre call to action :
Si vous travaillez dans une industrie où le phishing est un enjeu, êtes-vous certain que la façon dont vous utilisez vos URL permet de vous différencier des fraudeurs? Protégez-vous et envoyez l’URL de cet article à votre équipe!

Etienne Denis
Président-directeur général

Comments are closed.