Vendredi dernier des hackers ont piraté et volé des fichiers clients d'Epsilon, une filiale d'Alliance Data Systems dont les clients sont majoritairement des grandes banques, des détaillants et des groupes éducatifs. Bien qu'il semble à l'heure actuelle qu'aucune information financière n'ait été divulguée, des noms et des adresses e-mails semblent avoir été obtenus. Par Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys.

Les escroqueries via une opération de "phishing" sont la préoccupation numéro un de ce vol. Les pirates peuvent alors envoyer de faux e-mails se faisant passer pour votre banque, une pharmacie, un hôtel ou une entreprise qui a été un client d'Epsilon. L'e-mail paraîtrait réel et convaincant puisque les attaquants ont les noms des clients et les informations des entreprises avec qui ils ont fait affaire. L'e-mail demanderait aux utilisateurs peu méfiants de cliquer sur un lien qui requêtrait de fournir des numéros de carte de crédit, d'exécuter des logiciels malveillants, d'installer des logiciels espions ou de mener d'autres attaques.

L'utilisateur doit être extrêmement prudent en ouvrant ou en cliquant sur les liens dans ses e-mails. Voici les choses à chercher dans des courriels avant de déterminer ce qu'il faut faire :

1. Cet organisme m'envoie-t-il habituellement des e-mails ?

Si le client ne reçoit que des rappels mensuels via e-mail, il doit être prudent concernant tout e-mail sortant du cadre de diffusion habituel.

2. Cet organisme me demande-t-il de cliquer sur des liens dans cet e-mail ?

Il est dangereux de cliquer sur des liens reçus dans des e-mails. Une approche plus sûre pour visiter le site Web de l'organisation est de taper manuellement l'URL ou d'enregistrer l'URL dans vos favoris.

3. Est-ce que cet organisme me demande des renseignements personnels comme mon numéro de carte de crédit, etc ?

Si une page Web qui a été ouverte via un lien placé dans un e-mail vous demande cette information, il s'agit probablement d'une fraude.

4. Est-ce que cet e-mail provient réellement de mon organisme ?

En raison de la façon dont les e-mails fonctionnent, il n'est pas possible pour un utilisateur lambda de faire la distinction entre les e-mails envoyés par leur organisme ou par des pirates. Les utilisateurs ne doivent pas faire confiance aux e-mails, même si ils comportent les logos officiels ou si les couleurs ou tout autre élément familier ressemble exactement à la charte graphique de son organisme. Il est très facile d'utiliser ces éléments familiers qui incitent implicitement l'utilisateur à cliquer. Après tout, il suffit d'un clic pour que votre ordinateur soit compromis.