Un hameçonnage (phishing) efficace destiné à récupérer le mot de passe associé au compte client Amazon et/ou au compte mail de victimes ni assez attentives ni assez prudentes fait fureur depuis plusieurs mois.
La victime reçoit un email « confirmant » une commande passée chez le cybermarchand et proposant un lien permettant l’annulation de cette prétendue commande. L’email contient souvent les coordonnées de la victime ou au moins ses nom, prénom et adresse email, ce qui le rend vraisemblable. Comme la victime n’a évidemment jamais passé cette commande (et n’est parfois même pas cliente d’Amazon), la tentation est forte pour elle de tenter de l’annuler aussi vite que possible. Le lien proposé pour l’annulation conduit à une page Web ressemblant à s’y méprendre à une page du site d’Amazon. Sur cette page, la victime est invitée à saisir son adresse email ou son numéro de mobile et son mot de passe. La précipitation diminuant la vigilance, la victime s’exécute sans réfléchhir. Comme ce mot de passe est souvent le même que celui associé au compte mail de la victime (notamment chez son fournisseur d’accès), il se trouve offert à l’expéditeur du mail frauduleux sur un plateau, qui s’en servira probablement pour toutes sortes de choses peu recommandables, comme inonder d’autres victimes de messages non sollicités…
Ces informations recueillies par tromperie sont parfois jetées en pâture à qui veut s’en saisir par les auteurs de la fraude, notamment sur des services Web tels que Pastebin. Des services tiers qui surveillent et archivent les éléments postés publiquement sur ces sites Web comme par exemple PasteMonitor, permettent de repérer en choisissant les bons mots-clés (comme par exemple confirmation-commande), ces publications sauvages de couples email / mot de passe.
Pour se prémunir contre cette fraude, il faut réfléchir à deux fois avant de se précipiter pour corriger une erreur qui n’existe pas, mais il est très difficile de résister à la tentation de le faire. L’envie de corriger une erreur, d’autant plus qu’on pense qu’elle pourrait avoir des conséquences financières, tend à abolir le jugement. Et si l’on cède, les conséquences seront moins importantes si l’on a pris l’habitude de ne pas utiliser le même mot de passe et les mêmes informations d’identification à plusieurs endroits.