Phishing : Halte aux attaques

Chaque jour, de nouveaux cas de phishing connu sous le terme de ‘ piratage de cartes bancaires ‘ ou ‘ usurpation d’identité d’entreprises ‘sont détectés. De quoi s’agit-il exactement ? comment cela fonctionne-t-il ? Quels en sont les effets?

Définition

Le ‘ phishing ‘ (déformation orthographique intentionnelle du mot ‘fishing’ qui signifie pêche en anglais) est une forme bien précise de cyber crime. Elle consiste à duper l’internaute pour qu’il communique des informations confidentielles (nom, mot de passe, numéro PIN, ou toute autre information offrant des accès) Ces données sont utilisées pour obtenir de l’argent. C’est tout simplement de la fraude- vol de données suivi de vol d’argent.

Le phishing et le social engineering

Les phishers usent fortement des techniques de ‘ social engineering ‘. Le social engineering peut être associé à des brèches non techniques basées sur l’interaction humaine : tromper les utilisateurs et les pousser à franchir les mesures de sécurité habituelles.

Le social engineering est souvent employé par les auteurs de virus et de vers afin d’amener les utilisateurs peu méfiants à exécuter leurs codes malicieux. Il suffit pour cela d’attacher un virus ou un ver à des emails au contenu apparemment innocent.

Citons pour l’exemple LoveLetter qui arrivait sous forme d’email avec pour objet ‘ I LOVE YOU ‘ (et qui n’aime pas recevoir ce type de messages) suivi d’un texte disant ‘ regarde la lettre d’amour que je t’envoie ‘. La pièce jointe avait une double extension [LOVE-LETTER-FOR-YOU.TXT.vbs], mais, par défaut, Windows n’affiche pas la seconde (la vraie) extension ce qui avait pour effet de rassurer définitivement les utilisateurs peu méfiants. Cette ruse a depuis été utilisée maintes fois par de nombreux virus et vers tels que SirCam, Tanatos et Netsky.

Une autre technique de social engineering consiste à faire un email qui ressemble à une offre promotionelle. Swen par exemple se présentait sous la forme d’un patch cumulatif de Microsoft proposé à l’utilisateur pour sécuriser son système d’exploitation face aux attaques de vers. De tels emails ne sont pas la seule forme de social engineering. Il y a également les messages ICQ (messagerie instantanée) accompagnés de liens sur des pages Web infectées par exemple.

Techniques

Dans le cas d’arnaque par phishing, le criminel crée une réplique parfaite du site web d’une institution financière. Puis, il va à la ‘ pêche ‘ en utilisant la méthode des spams pour envoyer des emails qui ressemblent à une correspondance officielle de l’établissement financier en question.

Les phishers utilisent des logos authentiques, des messages au style commercial, et font parfois référence à des noms faisant véritablement partis des cadres supérieurs de l’institution. Ils usurpent également l’entête de l’email pour lui faire croire que l’email provient réellement d’une banque. En général, ces lettres expliquent que la banque a changé sa structure informatique et demandent à l’utilisateur de ré-entrer ses données personnelles. Parfois, les lettres prétextent des problèmes réseaux voire même des attaques de hackers.

Les faux emails distribués par les phishers ont un point commun : ils sont un appât pour leurrer le client et le pousser à cliquer sur le lien accompagnant la lettre. Si le client mord à l’hameçon, le criminel accédera directement à son compte bancaire. Ce lien amène l’internaute sur un ersatz de site qui imite en tout point le vrai site de la banque. Ce site contient un formulaire que le visiteur est prié de bien vouloir remplir.

Les phishers ciblent surtout des organisations qui regroupent un grand nombre de clients effectuant des transactions financières en ligne. Ces 18 derniers mois, les clients de Barclays, Citybank, Halifax, HSBC, Lloyds TSB et MBNA, NatWest ont tous été la cible de phishers. Par ailleurs, il n’y a pas que les clients de banques qui sont touchés, des organisations telles que amazon.com, AOL, BestBuy, eBay, MSN, PayPal et Yahoo sont également concernées.

Il est certain que dans le cas du phishing, une faible proportion sont effectivement clients de la banque ou autre organisation imitée, et peu d’entre eux ‘ mordront à l’hameçon ‘. Pourtant, tout comme pour les spams, les auteurs envoient en masse de faux messages. Même un faible taux de réponse s’avère être suffisant pour ces arnaques vaillent la peine d’être mises en place. Dans ce sens, le terme ‘trawling’ (chalutage) semble plus approprié que phishing.

Les enjeux sont même considérables. Les estimations concernant les arnaques par phishing varient de 400 millions à 2,4 milliards de dollars. Le nombre d’attaques par phishing et les coûts associés sont en augmentation. De juillet à novembre 2004, on a constaté une croissance mensuelle de 34% uniquement en emails de phishing, et une croissance de 28% uniquement pour les sites web frauduleux (chiffres de Activity Trends Report – November 2004, Anti-Phishing Working Group).

Comme si ce n’était pas assez, le problème ne se limite pas nécessairement à des pertes financières. Certains phishers placent également des exploits de vulnérabilités de Microsoft Internet Explorer sur leurs sites falsifiés. Lorsque la victime clique sur le lien qui l’amène sur un faux site, l’exploit télécharge un Trojan sur la machine. Par conséquent, en plus de dérober les informations bancaires de l’internaute, la machine devient malgré elle le soldat d’une armée de zombies. Elle peut ainsi être utilisée pour participer à une attaque de DDos [Déni de Service Distribué] destinée à extorquer de l’argent à une organisation, ou servir de plateforme pour distribution de spam, ou encore pour propager un virus ou un ver.

Il est surprenant de voir à quel point le phishing a attiré l’attention des media l’an dernier. En parallèle, les institutions financières fournissent désormais des conseils à leurs clients concernant les dangers potentiels. Les utilisateurs deviennent de plus en plus méfiants. Les phishers se voient forcer de chercher des moyens toujours plus sophistiqués de leurrer les utilisateurs pour que ces derniers fournissent leurs données bancaires.

Certains phishers font usage des vulnérabilités pour rendre leurs arnaques toujours plus crédibles. Une vulnérabilité Internet Explorer [IE] publiée par Microsoft à la fin de 2003 a permis à un phisher de créer un faux site web d’une institution financière. Ce dernier avait non seulement le même aspect mais affichait aussi l’URL correcte dans la fenêtre du navigateur IE. Cette vulnérabilité est expliquée sur le site web de Microsoft, en plus de conseils sur l’identification des sites web falsifiés.

Plus récemment, les phishers ont trouvé une autre méthode pour diriger les utilisateurs sur des faux sites sans qu’ils aient besoin de cliquer sur le lien. Cette méthode est basée sur la possibilité d’incorporer une instruction de script (y compris une instruction d’exploits) à l’intérieur de HTML qui va s’exécuter automatiquement lorsque l’email sera lu. En novembre 2004, les phishers ont envoyé des emails html contenant des instructions de script afin d’éditer des fichiers hôtes sur la machine de la victime. Par conséquent lorsque l’internaute interroge le site de sa banque sur son navigateur, il est automatiquement redirigé vers le site web frauduleux où n’importe quelle saisie de données peut être capturée. C’est une raison supplémentaire pour utiliser des textes d’emails en clair, plutôt qu’en HTML, et de désactiver le langage de script sur la machine.

7 règles d’or

  • Soyez prudent avec tous les messages vous demandant des informations personnelles. Il est peu probable que votre banque vous demande de telles informations. En cas de doute, appelez-les pour vérifier.
  • N’utilisez pas les liens se trouvant dans un email pour charger une page web. Au lieu de ça, taper l’URL vous même dans votre navigateur web.
  • Ne remplissez pas un questionnaire à partir d’un email demandant des informations personnelles. Tapez ce genre d’informations en utilisant un site web sécurisé. Vérifiez que l’URL comporte ‘https://’ et non pas seulement ‘http://’. Si vous utilisez IE, vérifiez que vous avez bien le symbole ‘ cadenas ‘ à la droite de votre barre d’état et double-cliquez pour vérifier la validité du certificat numérique. Alternativement, vous pouvez toujours utiliser le téléphone pour réaliser votre transaction.
  • Considérez l’éventualité d’installer un outil de navigation web qui vous prévient en cas d’attaques par phishing.
  • Vérifiez vos comptes en banque régulièrement (y compris les retraits et les cartes de crédits, vos relevés de compte etc.) pour être sûr que les transactions enregistrées sont authentiques.
  • Vérifiez bien que vous utilisez la dernière version de votre navigateur web et que tous les patchs de sécurité ont été appliqués.
  • N’hésitez pas à rapporter à votre banque tout ce qui vous parait suspicieux.

      Pour plus d’informations sur le phishing, les attaques de phishing et les moyens de prévention, consultez le Consumer Advice on Phishing Anti-Phishing Working Group.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *