AB Consulting vous propose une série d’articles destinés à la sensibilisation sur les risques en matière de sécurité de l’information. Suite à notre précédent article 10 trucs pour reconnaître un mail d’hameçonnage, aujourd’hui, nous allons revisiter la façon de repérer une tentative de phishing en nous concentrant sur une campagne récente ciblant les clients PayPal. Nous allons commencer par souligner les repères visuels qui vous aideront à éviter de devenir une victime, mais nous allons aussi approfondir l’arnaque de façon plus complète afin de vous permettre de comprendre le processus de bout en bout.
PayPal est l’une des marques les plus ciblées par les escrocs dans le cadre de tentatives d’hameçonnage, à l’instar des autres banques et institutions financières dès lors que les cyber-criminels cherchent à dérober de l’argent. Nous allons donc, étudier une séquence complète de tentative d’extorsion d’informations personnelles utilisant Paypal.
Attention, il s’agit d’un cas réel. Les adresses des sites web ainsi que les adresses mail des pirates sont susceptibles d’être toujours actives. N’essayez surtout pas de vous y connecter. Vous risqueriez de devenir vous-même une victime.
Le phishing, c’est quoi?
Le phishing (ou hameçonnage) reste l’une des méthodes les plus faciles et les plus rapides d’extorsion d’informations personnelles. Avec ce type d’attaque, les criminels jouent sur le nombre. Plus le nombre de messages envoyés est important et plus il est probable que quelqu’un tombe dans le piège.
Même si le nombre de victimes est finalement assez faible, le coût d’une campagne d’hameçonnage n’est rien à côté des bénéfices réalisés. Une seule victime suffit souvent à couvrir tous les coûts.
Malheureusement, des dizaines de personnes sont susceptibles d’être victimes de ce type d’arnaque dans une campagne donnée, de sorte que le phishing est devenu un business très rémunérateur pour la plupart des criminels. Chaque campagne est différente, ciblant souvent des renseignements personnels ou des informations financières. Dans ce cas qui nous sert d’exemple, elle cible tout à la fois.
Le phishing, ça commence souvent par un e-mail
Le plus souvent, tout commence par la réception dans votre boîte mail d’un message similaire à celui-ci :
Il s’agit d’une copie fidèle d’un véritable message Paypal. Les couleurs, le logo, la mise en forme, tout est identique. L’objectif est de vous faire peur pour vous inciter à cliquer sur le bouton!
Attention à l’adresse mail de l’expéditeur
Vous pouvez remarquer que l’adresse email de l’expéditeur n’est une adresse Paypal. C’est un indice très important qui doit vous alerter :
Le « via » marquant dans le champ « De: » est significatif de la façon que Google utilise pour vous dire que l’e-mail que vous lisez a été envoyé à partir d’un compte différent de celui qui est indiqué. Si l’email provenait réellement de PayPal, Google ne vous donnerait pas cet indice.
Gmail affiche cette information parce que bon nombre des services qui envoient des e-mails au nom d’autrui ne vérifient pas que le nom que l’expéditeur donné correspond bien à cette adresse e-mail. Google vous met en garde dans son aide, que nous vous invitons à consulter.
Dans ce cas, le criminel utilise un site Web et le serveur de l’hébergeur du site pour vous envoyer le message. Si ce message ne passe pas par Gmail, le simple fait que l’expéditeur n’a pas utilisé une adresse PayPal est le premier indice qui doit vous mettre en garde.
Bien sûr, le sujet de l’e-mail est tout aussi faux. En tentant de souligner un point sensible et d’instiller un faux sentiment d’urgence, et du fait qu’il ne mentionne pas l’identifiant du « compte » en question le pirate augmente les chances que la curiosité vous gagne et que vous ouvriez le message.
Le corps du message – C’est là que tout se passe
Pour un œil non averti, le message vous informe que votre compte PayPal a été limité, et et que vous avez un délai court pour résoudre le problème à l’origine de cette limitation. Encore une fois, l’objectif est d’instiller chez vous un faux sentiment d’urgence. si vous êtes un utilisateur régulier de PayPal, le fait que vous risquiez de perdre l’accès à votre compte est un problème qui peut être potentiellement grave pour vous.
Le message lui-même se présente comme une mesure de sécurité, et vous informe que votre compte PayPal pourrait être en danger de piratage, ce qui pourrait résulter en un vol de vos avoirs ou son utilisation frauduleuse. Ironique vraiment, puisque le vol de vos informations est l’objectif qui se cache derrière le mail. Une fois encore, les criminels utilisent la peur comme facteur de motivation principal. La solution est simple : allez confirmer vos informations sur votre compte en suivant le lien fourni.
Pour un œil exercé, le message est un faux. Tout d’abord, PayPal utilise toujours le nom de compte enregistré lors de l’adressage de messages, de sorte qu’ils ne vous adressent jamais un e-mail de sécurité en utilisant un nom générique du type « clientèle Paypal ».
Deuxièmement, le message lui-même est une simple image. Le pirate a créé un lien vers son domaine, et utilisé une image à la place d’un lien texte que presque tout le monde utilise sur le Web.
L’utilisation d’une image permet de passer au travers de beaucoup de filtres anti-spam basiques. Le fait que le message a été relayé par un compte hacké qui n’a jamais envoyé de spam précédemment va également aider à éviter la détection.
Mais qu’advient-il si vous cliquez sur le lien?
Il est encore temps de faire marche arrière
Si pour une raison quelconque vous avez cliqué sur le lien, l’URL affichée devrait être une alerte suffisante pour mettre en échec cette tentative de phishing :
L’adresse du site n’est pas sécurisée, l’accès n’est pas réalisé via HTTPS et le domaine N’EST clairement PAS un domaine contrôlé par PayPal. Vous êtes ici convié à saisir les identifiant /mot de passe de votre compte Paypal sur un site contrôlé par le pirate.
ATTENTION: l’URL indiquée dans cette image était active il y a seulement quelques semaines. N’essayez pas de la visiter. L’hébergeur a pris la la décision de déconnecter ce domaine depuis, mais rien ne garantit que cette URL ne pointe pas vers un nouvel emplacement dans le futur.
Vous avez entré votre identifiant et votre mot de passe?
Entrer votre nom d’utilisateur et mot de passe dans le champ de la diapositive précédente déclenche un certain nombre de contrôles par le script de Phishing créé sur ce domaine. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été volés. Ce n’est que le début du processus…
Cet écran vous est familier? C’est normal. La couleur des images, le format des pages du site, et même la barre d’adresse remplie de lettres et de chiffres tout est conçu pour vous tromper et vous faire penser que vous êtes bien sur le site de PayPal. Rappelez-vous que ce n’est pas le cas. Le HTTPS: manquant est une preuve supplémentaire que Paypal n’a rien voir avec cette page.
Maintenant, passons à la partie qui intéresse nos pirates
Une fois l’écran de chargement disparaît, la deuxième partie de l’arnaque peut commencer. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été récupérés. Cependant il ne faut surtout pas que vous vous arrêtiez là.
La meilleure façon de continuer à vous sentir menacé c’est de simuler l’incident technique avant de passer à l’étape suivante… Vous êtes donc invité à confirmer vos données de connexion.
Et si vous nous en disiez un peu plus sur vous?
Si vous acceptez et que vous confirmez, vous verrez apparaître cette nouvelle page. Le criminel va devenir capable de construire un profil basé sur vos informations personnelles. Les données recueillies pourront être vendues. Elles pourront aussi être utilisées pour des escroqueries ultérieures y compris pour voler votre identité.
Le script a besoin d’informations et vous demande d’entrer vos informations personnelles détaillées avant d’en venir à son objectif principal. Le processus n’est pas encore arrivé à son terme.
Les détails de votre carte de paiement
Maintenant, le pirate a obtenu vos informations personnelles. Cette page va tenter d’obtenir des données financières, à savoir les détails de votre carte de crédit.
Cette page, ainsi que tous les autres, a été conçue pour ressembler fidèlement à une page PayPal. Pour ceux qui savent qu’ils doivent rechercher un cadenas pour s’assurer que la page des données bancaires est bien sécurisée, mais qui ont oublié où ce cadenas doit apparaître sur la page, le message au bas de l’écran peut paraître rassurant. Bien évidemment, RIEN sur cette page N’EST SECURISE.
Mais pourquoi s’arrêter en si bon chemin?
La dernière part d’informations dont le criminel a besoin porte toujours sur vos données bancaires. Ce formulaire a deux fonctions :
- d’abord il recueille vos données de connexion et votre numéro de compte à votre banque,
- la deuxième est qu’il permet à l’escroc pour voir si recyclez vos mots de passe.
S’il s’avère que le mot de passe PayPal est la même que celui permettant l’accès à votre compte bancaire, alors il y a de fortes présomptions que vous utilisiez le même mot de passe partout. Au pire, le criminel peut utiliser cette information pour réaliser d’autres escroqueries. Il pourra alors exploiter les informations recueillies pour accéder à d’autres comptes vous appartenant.
On est presque au bout du processus de phishing
Nous arrivons à la fin du processus. Tout a été conçu pour que vous pensiez avoir affaire à PayPal en essayant d’endormir votre méfiance. Hélas, à ce stade l’intégralité de vos informations bancaires, vos renseignements personnels, les détails de votre carte de crédit, et les données de connexion à votre compte PayPal sont entre les mains des pirates. Il n’y a pas de retour en arrière possible.
Les choses doivent continuer à avancer pour ne pas éveiller votre méfiance. Cette page restera affichée seulement quelques secondes (une durée insuffisante pour que ayez le temps de cliquer sur l’un des trois boutons) avant que vous ne soyez redirigé vers le dernier écran.
Comme si rien ne s’était passé !
La dernière étape de l’escroquerie vous ramène sur le véritable site de PayPal. Si vous regardez bien la barre d’adresse, vous verrez que l’URL est en HTTPS:. La zone où le cadenas est présent comporte maintenant le nom de la société et apparaît en vert.
Les précédentes images faisaient toutes partie de l’arnaque. Donc, le fait que le site web légitime PayPal apparaisse à la fin sur l’écran ne signifie absolument rien. Les écrans de saisie ont tous été récupérés et quelque part dans le monde, il y a un criminel qui abuse de vos informations de multiples façons créatives, sans aucun doute.
Quand on évoque l’hameçonnage,il est difficile de s’en protéger en permanence. Cependant, ce n’est pas une tâche impossible. En cas de doute, ne cliquez pas sur les liens ou les pièces jointes dans un courrier électronique. Et surtout n’allez pas visiter le site en question (par exemple PayPal) directement.
Rappelez-vous que le mail est le dernier des moyens de communication que les banques et les organismes financiers utilisent pour communiquer avec vous. En ligne, faites attention à la barre d’adresse. Vérifiez que vous êtes bien en HTTPS lorsque vous êtes sur le point d’entrer des informations personnelles ou financières dans un formulaire.
Comment s’assurer contre ce type de danger?
Il n’y a pas de solutions technologiques fiables pour vous protéger contre ce type de menaces. C’est de la responsabilité de chacun et de chacune d’assurer la sécurité de l’information. La sécurité de l’information vous concerne tous, tant au niveau personnel qu’au niveau professionnel. Nous vous invitons donc à renforcer votre sensibilisation et celle des employés de votre Organisation. A cet effet, nous proposons des sessions de formations sur ce sujet avec les mesure de préventions associées. Ces mesures sont issues des normes et référentiels de bonnes pratiques tels que ISO 27001, ISO 27002, NIST CSF ou RESILIA.
AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, PECB, EXIN et AXELOS sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose régulièrement des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine. Ces formations peuvent être délivrées, en Français ou en Anglais. Nous les proposons dans le cadre de nos sessions publiques ou sur mesure en intra-entreprise :
Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)
COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)
Sensibilisation à ISO 27001 / ISO 27002 (1 journée)
Toutes nos formations peuvent également être délivrées pour les informaticiens. Nous formons également les équipes de sécurité et les métiers sur l’ensemble de ces domaines. Nos accréditations nous permettent de délivrer des certifications reconnues au niveau international.
Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de bien vouloir compléter le formulaire de contact :
Tous les écrans illustrant cet article sont extraits de la revue CSO.