Re: [Lilux-info] Parfait exemple de "fishing"

Je reçoit un e-mail pour l'une des sociétés dont je m'occupe: (fishing ? Kezako ? <http://fr.wikipedia.org/wiki/Hame%C3%A7onnage>) Premier réflexe: vérifier le lien (en mettant la flèche dessus). On voit apparaître (sur un bon navigateur web) le lien qui se cache là-dessous. C'est "http://tiddus.com/refund-luxembourg.lu/5a380c0e957bcfa593ab6ece058c6804" Tiddus.com n'a rien à voir avec l'Etat luxembourgeois et est un site américain. Si on suit le lien, on tombe sur ceci: Il n'y a pas plus proche du site réel des contributions luxembourgeoises. Tout a été copié (très facile). Seul un texte est "original" et donc plein de fautes de style, de syntaxe et d'orthographe: "/S'il vous plaît remplir le formulaire ci-dessous afin de continuer à recevoir la amound de EUR 411,00 retourné à votre compte par l'Administration des contributions directes, du Grand-Duché de Luxembourg/" Non seulement le remboursement d'impôts ne se fait pas par carte de crédit, mais en plus il n'a lieu que si on cesse l'activité (sinon c'est un avoir sur l'impôt de l'année suivante). Au pire, l'administration rembourse par virement. Jamais par "re-crédit" d'une carte bancaire. De plus, ici, toute les informations confidentielles sont demandées, dont (ce qui est anormal): * Date de naissance * "Card verification code" * "Password 3D secure" Aucune de ces trois informations n'est nécessaire pour être remboursé. A mon avis, la date de fin de validité non plus (_pour être remboursé_). Par contre, muni de ces informations, le pirate pourra effectivement passer des achats sur Internet dans les limites du crédit de la carte, et se faire livre où bon lui semble (poste restante, point de dépôt, ...) La page n'est même pas en http*s* (http sécurisé) car il n'a même pas investi dans un faux certificat... (vérifier l'authenticité d'un certificat <https://www.bcee.lu/Agences/Agence-Online2/S-net/S%C3%A9curit%C3%A9/V%C3%A9rifier-l%27authenticit%C3%A9-de-la-page-dans-Mozilla-Firefox>) Bref, grossière arnaque. Comment déjouer: 1) Personne (ni compagnie d'électricité, ni service public, ni e-marchant, ni banque) ne vous demandera vos coordonnées bancaires/cartes de crédit/identité/... par Internet. 2) Surtout pas sur une page web non cryptée (http*s*) 3) Dans un cas de page https, vérifier l'identité du serveur (cliquer sur le cadenas, demander de voir le certificat, vérifier qui en est le certificateur, ...) suivant votre navigateur web. 4) Toujours vérifier le nom du site sur lequel vous naviguez. Ici, on part d'un e-mail apparemment émit par "impot.lu" et on aboutit sur un site qui n'a rien à voir. 5) Ne _jamais_ renseigner votre "Card verification code" ou "Password 3D secure" sur une page autre qu'appartenant à _une banque_, avec certificat de la banque, et liaison http*s*. 6) Ne _jamais_ donner d'informations autres que votre numéro de carte pour tout remboursement, et préférer les remboursements via virements bancaires. Nous sommes en Union Européenne. Les virements européens (SEPA) sont au même prix que les remboursements locaux _partout en Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte de crédit. 7) Pour des achats sur Internet, préférer des sites connus et réputés. Sinon, vérifier l'existence et la localisation (Ex: Monaco ou Andorre ne sont pas en Europe donc non soumis au droit européen) de la société. Envisager l'usage de numéros de cartes électroniques éphémères (cartes "one-shot") que fournissent certaines banques. Pour des achats auprès de vendeurs inconnus, les services de garantie de transactions fournis par e-Bay ou Amazon (par exemple) sont très utiles. Et enfin, _dénoncez immédiatement_ tout site frauduleux aux autorités. _______________________________________________ Lilux-info mailing list Lilux-info(a)lilux.lu https://www.lilux.lu/mailman/listinfo/lilux-info