Le phishing fait toujours autant parler de lui. Ces pages html détournées qui ressemblent en tous points au site original, sont envoyées en même temps qu'un courriel indésirable provenant de soi-disant banques et demandent de transmettre des données importantes/confidentielles telles que numéros de téléphone, numéros de compte bancaire et parfois de carte de crédit. Inutile de dire que ces informations sont une aubaine pour le ' phisher ' (appelé aussi hameçonneur).

Il était auparavant facile de repérer des attaques de phishing dont le graphique des sites était grossier et les messages contenaient des erreurs. La méfiance des internautes a depuis obligé les phishers à perfectionner leurs arnaques. Nombreux sont les sites de phishing qui sont très professionnels et difficiles à différencier des sites d'origine. Cette technique arrive à convaincre 5% des personnes et le coût pour les consommateurs et les banques est estimé à 500 millions de dollars par an.

Le nombre d'institutions financières attaquées a augmenté de 586% depuis juin 2004 avec des attaques passant de 2.6 à 5 par jour. Pratiquement toutes les banques connues ont été touchées par exemple Citibank et UK bank Lloyds TSB.

Selon les membres de l'Anti-Phishing Working Group (APWG) ces pages nuisent aussi bien à l'utilisateur qu'à la société contrefaite. Deux tiers des répondants jugent inacceptable que les sociétés n'entament aucune action pour lutter contre le phishing et la très grande majorité (96 %) estime que les sites devraient s'armer de moyens technologiques d'authentification plus performants. Bref, les sociétés victimes de ces attaques se retrouvent tiraillées entre des clients mécontents et des phishers attirés par l'appât du gain.

Plusieurs institutions financières préviennent leurs clients qu'il ne faut en aucun cas répondre à des courriels non sollicités exigeant des informations personnelles, aussi authentiques soit-ils. Certains tentent de réagir au mieux, comme la banque britannique NatWest qui mi-novembre a été forcée de suspendre ses services en ligne afin de protéger ses clients d'une tentative d'escroquerie par phishing. Un message d'alerte à la fraude a été diffusée sur le site.

Vu la forte médiatisation concernant le phishing et la méfiance croissante des internautes, il semble que les phishers délaissent les banques pour s'attaquer à des institutions commerciales. L'attaque du Hilton ces jours-ci démontre bien cette tendance. Les clients de la fameuse chaîne d'hôtels se sont vus demandés dans un courriel plus vrai que nature, de redonner leurs données personnelles et bien entendu bancaires. C'est la première institution non bancaire à être attaqué. Et il est très probable que ça ne soit pas la dernière.