Dans la nuit du mardi 31 janvier au mercredi 1 er février 2006, le site du Crédit Lyonnais a été encore une fois la cible d'une attaque par voie de phishing.Cette attaque s'inscrit dans une série récurrente d'incidents de sécurité qui ont affecté le site durant l'exercice 2006. Après des mesures préventives visant à sensibiliser les clients au  phishing et aux indices permettant de l'identifier, le Crédit Lyonnais a fini par bloquer certains types de transactions en ligne.

Dans un premier temps, toutes les opérations de transaction en ligne ont été rendues impossibles. Un communiqué, publié mercredi 1 er février dans le courant de l'après-midi, indiquait une réouverture progressive des services. Les virements ponctuels vers les comptes de clients d'autres banques sont toujours bloqués de même que l'enregistrement des RIB de ces mêmes clients externes. Malgré cela, LCL reconnaît que certains de ses clients ont eu le temps de se laisser abuser. La banque a aussi décidé de déposer plainte contre X. (Source: 01net.com)

Bilan des attaques par voie de phishing (hameçonage) en mai 2006.

Exemples concrets d'attaques par voie de phishing.

La technique employée consiste à envoyer un email frauduleux à des victimes potentielles pour les amener à dévoiler insidieusement des informations confidentielles. Le courriel ainsi envoyé contient un lien hypertexte vers une copie factice du site. Une analyse minutieuse des interfaces du site factice permet souvent de relever certaines différences par rapport au site authentique (adresse différente, caractères manquants, fautes d'orthographe, graphiques de mauvaise qualité). Sous prétexte de vérification ou d'activation d'un service, la victime est amenée à renseigner ses informations bancaires confidentielles dans un formulaire électronique qui les détourne vers la base de données du pirate. Ces informations sont utilisées pour commettre des crimes électroniques souvent dans un pays autre que celui ou la victime est domiciliée. Cela complique la procédure de poursuite judiciaire et prive la victime de certains droits de recours notamment lorsque le crime est commis dans un pays où il y a un vide juridique en la matière. Cela dit les banques préfèrent souvent dédommager leurs clients plutôt que de s'engager dans des poursuites judiciaires qui pourraient ternir leur réputation et remettre en cause la sécurité de leur système d'information.