{"id":1155,"date":"2015-10-28T20:27:42","date_gmt":"2015-10-28T19:27:42","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=1155"},"modified":"2017-08-13T11:37:13","modified_gmt":"2017-08-13T10:37:13","slug":"phishing-mode-emploi","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/phishing-mode-emploi","title":{"rendered":"Phishing – Mode d’emploi"},"content":{"rendered":"

AB Consulting\u00a0vous propose une s\u00e9rie d’articles destin\u00e9s \u00e0 la sensibilisation sur les risques en mati\u00e8re de s\u00e9curit\u00e9 de l’information. Suite \u00e0 notre pr\u00e9c\u00e9dent article 10 trucs pour\u00a0reconna\u00eetre un mail d’hame\u00e7onnage<\/a>, aujourd’hui, nous allons revisiter la fa\u00e7on de rep\u00e9rer une tentative de phishing\u00a0en nous\u00a0concentrant sur une campagne r\u00e9cente ciblant les clients PayPal. Nous allons commencer par souligner les rep\u00e8res visuels qui vous aideront \u00e0 \u00e9viter de devenir une victime, mais nous allons aussi approfondir\u00a0l’arnaque de fa\u00e7on plus compl\u00e8te afin de vous permettre de\u00a0comprendre le processus de bout en bout.<\/em><\/p>\n

\"phishing<\/a><\/p>\n

PayPal est l’une des marques les plus cibl\u00e9es par les escrocs dans le cadre de tentatives d’hame\u00e7onnage, \u00e0 l’instar des autres\u00a0banques et institutions financi\u00e8res d\u00e8s lors que les cyber-criminels cherchent \u00e0 d\u00e9rober de l’argent. Nous allons donc, \u00e9tudier une s\u00e9quence compl\u00e8te de tentative d’extorsion d’informations personnelles utilisant Paypal.<\/p>\n

\n

Attention, il s’agit d’un cas r\u00e9el. Les adresses des sites web ainsi que les adresses mail des pirates sont susceptibles d’\u00eatre toujours actives. N’essayez surtout pas de vous y connecter. Vous risqueriez de devenir vous-m\u00eame une victime<\/span><\/strong>.<\/p>\n

\n

Le phishing, c’est quoi?<\/strong><\/h2>\n

Le phishing (ou hame\u00e7onnage) reste l’une des m\u00e9thodes les plus faciles et les plus rapides\u00a0d’extorsion d’informations\u00a0personnelles. Avec ce type d’attaque, les criminels jouent\u00a0sur le nombre.\u00a0Plus le nombre de messages envoy\u00e9s est important et\u00a0plus il est probable que quelqu’un tombe dans le pi\u00e8ge.<\/p>\n

M\u00eame si le nombre de victimes est finalement assez faible, le co\u00fbt d’une campagne\u00a0d’hame\u00e7onnage\u00a0n’est\u00a0rien \u00e0 c\u00f4t\u00e9 des b\u00e9n\u00e9fices r\u00e9alis\u00e9s. Une seule victime suffit souvent \u00e0 couvrir tous les co\u00fbts.<\/p>\n

Malheureusement, des dizaines de personnes sont susceptibles d’\u00eatre victimes de ce type\u00a0d’arnaque dans une campagne donn\u00e9e, de sorte que le phishing est devenu un business tr\u00e8s r\u00e9mun\u00e9rateur pour la plupart des criminels. Chaque campagne est diff\u00e9rente, ciblant souvent des renseignements personnels ou des informations financi\u00e8res. Dans ce cas qui nous sert d’exemple, elle cible tout \u00e0 la fois.<\/p>\n

Le phishing, \u00e7a commence souvent par un e-mail<\/strong><\/h2>\n

Le plus souvent, tout commence par la r\u00e9ception dans votre bo\u00eete mail d’un message similaire \u00e0 celui-ci :<\/p>\n

\"phishing<\/a><\/p>\n

Il s’agit d’une copie fid\u00e8le d’un v\u00e9ritable message Paypal. Les couleurs, le logo, la mise en forme, tout est identique. L’objectif est de vous faire peur pour vous inciter \u00e0 cliquer sur le bouton!<\/p>\n

Attention \u00e0 l’adresse mail de l’exp\u00e9diteur<\/strong><\/h2>\n

Vous pouvez remarquer\u00a0que l’adresse email de l’exp\u00e9diteur n’est une adresse Paypal. C’est un indice\u00a0tr\u00e8s important qui doit vous alerter :<\/p>\n

\"Phishing<\/a><\/p>\n

Le\u00a0\u00ab\u00a0via<\/strong><\/span>\u00a0\u00bb marquant dans le champ \u00ab\u00a0De:\u00a0\u00bb est significatif de la fa\u00e7on que Google utilise pour vous dire\u00a0que l’e-mail que vous lisez a \u00e9t\u00e9 envoy\u00e9 \u00e0 partir d’un compte diff\u00e9rent\u00a0de celui qui est indiqu\u00e9. Si l’email provenait r\u00e9ellement de PayPal, Google ne vous donnerait pas\u00a0cet indice.<\/p>\n

Gmail affiche cette information parce que bon nombre des services qui envoient des e-mails au nom d’autrui ne v\u00e9rifient pas que le nom que l’exp\u00e9diteur donn\u00e9 correspond bien \u00e0 cette adresse e-mail. Google vous met en garde<\/a><\/strong><\/em> dans son aide, que nous vous invitons \u00e0 consulter<\/a><\/strong><\/em>.<\/p>\n

Dans ce cas, le criminel utilise\u00a0un site Web et le serveur de l’h\u00e9bergeur du site pour vous envoyer le message. Si ce message ne passe pas par\u00a0Gmail, le simple fait que l’exp\u00e9diteur n’a pas utilis\u00e9 une adresse PayPal est le premier indice qui doit vous mettre en garde.<\/p>\n

Bien s\u00fbr, le sujet de l’e-mail est tout aussi faux. En\u00a0tentant de souligner un point sensible et d’instiller un faux sentiment d’urgence, et du\u00a0fait qu’il ne mentionne\u00a0pas l’identifiant du \u00ab\u00a0compte\u00a0\u00bb en question le pirate augmente les chances que la curiosit\u00e9 vous gagne et que\u00a0vous ouvriez le message.<\/p>\n

Le corps du message – C’est l\u00e0 que tout se passe<\/strong><\/h2>\n

Pour un \u0153il non averti, le message vous informe que votre compte PayPal a \u00e9t\u00e9\u00a0limit\u00e9, et et que vous avez un d\u00e9lai court\u00a0pour r\u00e9soudre le probl\u00e8me \u00e0 l’origine de cette limitation. Encore une fois, l’objectif est d’instiller chez vous\u00a0un faux sentiment d’urgence. si vous \u00eates un utilisateur r\u00e9gulier de PayPal, le fait que vous risquiez de perdre l’acc\u00e8s \u00e0 votre compte est un probl\u00e8me qui peut \u00eatre potentiellement grave pour vous.<\/p>\n

\"Phishing<\/a><\/p>\n

Le message lui-m\u00eame se pr\u00e9sente\u00a0comme une mesure de s\u00e9curit\u00e9, et vous informe que votre compte PayPal pourrait \u00eatre en danger de piratage, ce qui pourrait r\u00e9sulter en un vol de vos avoirs ou son utilisation frauduleuse. Ironique vraiment, puisque le vol de vos informations est l’objectif qui se cache derri\u00e8re le mail. Une fois encore, les criminels utilisent la peur\u00a0comme\u00a0facteur de motivation principal. La solution est simple : allez\u00a0confirmer vos informations sur votre compte en suivant le lien fourni.<\/p>\n

Pour un \u0153il exerc\u00e9, le message est un faux. Tout d’abord, PayPal utilise toujours le nom de compte enregistr\u00e9 lors de\u00a0l’adressage de messages, de sorte qu’ils ne vous adressent jamais\u00a0un e-mail de s\u00e9curit\u00e9 en utilisant un nom g\u00e9n\u00e9rique du type\u00a0\u00ab\u00a0client\u00e8le Paypal\u00a0\u00bb.<\/p>\n

Deuxi\u00e8mement, le message lui-m\u00eame est une simple image. Le pirate\u00a0a cr\u00e9\u00e9 un lien vers son\u00a0domaine, et utilis\u00e9 une image \u00e0 la place d’un\u00a0lien texte que presque tout le monde utilise\u00a0sur le Web.<\/p>\n

L’utilisation d’une image permet de passer au travers de\u00a0beaucoup\u00a0de filtres anti-spam basiques. Le fait que le message a \u00e9t\u00e9 relay\u00e9 par un compte hack\u00e9\u00a0qui n’a jamais envoy\u00e9 de\u00a0spam pr\u00e9c\u00e9demment\u00a0va \u00e9galement aider \u00e0 \u00e9viter la d\u00e9tection.<\/p>\n

Mais qu’advient-il si vous cliquez sur\u00a0le lien?<\/p>\n

Il est encore temps de faire marche arri\u00e8re<\/strong><\/h2>\n

Si pour une raison quelconque vous avez\u00a0cliqu\u00e9 sur le lien, l’URL affich\u00e9e devrait \u00eatre une alerte suffisante pour mettre en \u00e9chec\u00a0cette tentative de\u00a0phishing :<\/p>\n

\"Phishing<\/a><\/p>\n

L’adresse du site n’est pas s\u00e9curis\u00e9e, l’acc\u00e8s n’est pas r\u00e9alis\u00e9 via\u00a0HTTPS et le domaine N’EST\u00a0clairement PAS\u00a0un domaine contr\u00f4l\u00e9 par PayPal<\/strong><\/span>. Vous \u00eates ici convi\u00e9 \u00e0 saisir les\u00a0identifiant \/mot de passe de votre compte Paypal sur un site contr\u00f4l\u00e9 par le pirate.<\/p>\n

\n

ATTENTION:\u00a0l’URL indiqu\u00e9e dans cette image \u00e9tait active il y a seulement quelques semaines. N’essayez pas de la visiter. L’h\u00e9bergeur a pris la la d\u00e9cision de d\u00e9connecter ce domaine depuis, mais rien ne garantit que cette URL ne pointe pas vers\u00a0un nouvel emplacement dans le futur.<\/span><\/strong><\/em><\/p>\n

\n

Vous avez entr\u00e9 votre identifiant et votre mot de passe?<\/strong><\/h2>\n

Entrer votre nom d’utilisateur et mot de passe dans le champ de la diapositive pr\u00e9c\u00e9dente d\u00e9clenche un certain nombre de contr\u00f4les par le script de Phishing cr\u00e9\u00e9 sur ce domaine. A\u00a0ce stade, votre nom d’utilisateur et mot de passe PayPal ont \u00e9t\u00e9 vol\u00e9s. Ce n’est que le d\u00e9but du processus…<\/p>\n

\"Phishing<\/a><\/p>\n

Cet \u00e9cran vous est\u00a0familier? C’est normal. La couleur des\u00a0images, le format des pages du site, et m\u00eame la barre d’adresse remplie\u00a0de lettres et de\u00a0chiffres tout est con\u00e7u pour vous tromper et vous faire\u00a0penser que vous \u00eates bien sur le site de PayPal. Rappelez-vous que ce n’est pas le cas. Le HTTPS:<\/strong><\/em> manquant est une preuve suppl\u00e9mentaire que Paypal n’a rien voir avec cette page.<\/p>\n

Maintenant, passons \u00e0 la partie qui int\u00e9resse nos pirates<\/strong><\/h2>\n

Une fois l’\u00e9cran de chargement dispara\u00eet, la deuxi\u00e8me partie de l’arnaque peut commencer. A\u00a0ce stade, votre nom d’utilisateur et mot de passe PayPal ont \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9s. Cependant il ne faut surtout pas que vous vous arr\u00eatiez l\u00e0.<\/p>\n

\"Phishing<\/a><\/p>\n

La meilleure fa\u00e7on de continuer \u00e0 vous sentir menac\u00e9 c’est de simuler l’incident technique avant de passer \u00e0 l’\u00e9tape suivante… Vous \u00eates donc invit\u00e9 \u00e0 confirmer vos donn\u00e9es de connexion.<\/p>\n

Et si vous nous en disiez un peu plus sur vous?<\/strong><\/h2>\n

Si vous acceptez et que vous confirmez, vous verrez appara\u00eetre cette nouvelle page. Le criminel va devenir capable de construire un profil bas\u00e9 sur vos informations personnelles. Les donn\u00e9es recueillies pourront \u00eatre vendues. Elles pourront aussi \u00eatre utilis\u00e9es pour des escroqueries\u00a0ult\u00e9rieures\u00a0y compris pour voler votre\u00a0identit\u00e9.<\/p>\n

\"Phishing<\/a><\/p>\n

Le\u00a0script\u00a0a besoin d’informations et vous demande d’entrer vos informations personnelles d\u00e9taill\u00e9es avant d’en venir \u00e0 son objectif principal. Le processus n’est pas encore arriv\u00e9 \u00e0 son terme.<\/p>\n

Les d\u00e9tails de votre carte de paiement<\/strong><\/h2>\n

Maintenant, le pirate\u00a0a obtenu vos informations\u00a0personnelles. Cette page\u00a0va tenter d’obtenir\u00a0des donn\u00e9es financi\u00e8res, \u00e0 savoir les d\u00e9tails de votre carte de cr\u00e9dit.<\/p>\n

\"Phishing<\/a><\/p>\n

Cette page, ainsi que tous les autres, a \u00e9t\u00e9 con\u00e7ue pour ressembler fid\u00e8lement\u00a0\u00e0 une page PayPal. Pour ceux qui savent qu’ils doivent rechercher un\u00a0cadenas pour s’assurer que la page des donn\u00e9es bancaires est bien s\u00e9curis\u00e9e, mais qui ont oubli\u00e9 o\u00f9 ce cadenas doit appara\u00eetre sur la page, le message au bas de l’\u00e9cran\u00a0peut para\u00eetre rassurant. Bien \u00e9videmment, RIEN<\/strong> sur cette page N’EST SECURISE<\/strong>.<\/p>\n

Mais pourquoi s’arr\u00eater en si bon chemin?<\/strong><\/h2>\n

La derni\u00e8re part\u00a0d’informations dont le criminel a besoin porte\u00a0toujours sur vos\u00a0donn\u00e9es bancaires. Ce formulaire a\u00a0deux fonctions :<\/p>\n