Pourquoi le phishing ressemble de plus en plus à de la pêche au gros ?

Tout le monde a déjà entendu parler de phishing ou hameçonnage en français et a été une fois ou l’autre victime d’une attaque de ce style.

Le phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale (sécurité de l'information). L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.

Depuis le début des années 2000, différentes vagues de phishing plus ou moins professionnelles ont été lancées. Ces derniers mois ces dernières sont devenues tellement réalistes que même les filtres anti-spam les plus strictes en laisse passer certaines. Une véritable mafia c’est emparé du concept pour détourner de l’argent à votre insu et financer des réseaux parallèles. Pourquoi ?

En fait, chaque e-mail reçu sur sa boite de messagerie fait un long voyage avant d’arriver chez soi. Le mail est envoyé depuis un serveur de mails appelé « serveur d’envoi ». Ce dernier discute avec le « serveur de réception », serveur de votre provider qui va contrôler que l’e-mail de l’expéditeur est bien autorisé par le serveur d’envoi. Si c’est le cas, à ce moment là, votre e-mail va passer une série de tests anti-virus et anti-spam. Selon la configuration du serveur un message traité comme du spam sera supprimé ou bloqué dans un répertoire « junk mail » sur le serveur de réception ; e-mail que vous pourrez récupérer en vous connectant sur l’interface webmail de votre provider. Un virus quant à lui sera directement détruit. Or une attaque de phishing conciste simplement à vous envoyer un e-mail qui visuellement et textuellement ressemble exactement à un e-mail officiel que vous aurriez reçu de l’un de vos partenaires (fournisseur d’accès, organisme financier, …) et est donc traité par votre serveur de mails de la même manière.

Les pirates derrière les attaques de ces derniers mois, sont très ingénieux. Ils vont même jusqu’à acheter des noms de domaines propres et des hébergements de messagerie tout ce qu’il y a de plus standards afin de passer toutes les règles de contrôles serveurs (SPF, Reverse DNS) et être sur que leurs messages soient bien transmis aux adresses de messagerie de leurs victimes.

Mais pourquoi donc mes filtres anti-spam ne bloquent-ils pas toutes les attaques de phishing ?

Les filtres anti-spam présent sur les différents serveurs de messagerie travaillent sur un certains nombre d’algorithme pour identifier la véracité de l’e-mail. Or vu que les e-mails envoyés sont une copie quasi-conforme d’un e-mail officiel reçu par PayPal ou Swisscom par exemple, ces derniers respectent scrupuleusement toutes les règles qui permetteraient de les bloquer. Ils passent donc à travers les mailles du filet sans problème.

L’utilisateur progresse aussi… mais moins vite que les pirates!

En effet, aujourd’hui quand on reçoit un e-mail nous annoncant qu’une personne souhaite se mettre en relation avec nous pour partager son héritage de plusieurs dizaines de milions d’euros, la majeure partie des gens savent qu’il s’agit d’une arnaque et ne répondent pas à cette solicitation. Toutefois à 9 chances sur 10 si l’on reçoit un e-mail de son provider qui nous demande de nous identifier sur leur plateforme pour activer un nouveau filtre, faire partie des clients à tarif preferentiel, etc, beaucoup de personnes ont encore le réflexe de cliquer le lien sans même se soucier de la source.

Que faire pour se protèger ?

La vérification de l'adresse web dans la barre d'adresse du navigateur web est la première parade. Ainsi, une attaque simple consiste à utiliser un nom de domaine mal orthographié, comme http://www.swissscom.ch au lieu de http://www.swisscom.ch. Bien sûr, l'attaquant aura préalablement acheté le nom de domaine mal orthographié.

Plus élaborée est l'utilisation d'une adresse Web conçue pour tromper le visiteur non technicien. Il faut être particulièrement vigilant lorsque l'on rencontre une adresse Web contenant le symbole « @ », qui se trouve couramment dans les adresses électroniques, mais pas dans les adresses Web. Par exemple l'adresse Web http://www.paypal.com:refID12344234324@example.com/ mène à un site du domaine example.com, et non pas www.paypal.com comme on pourrait le croire. Techniquement, cette adresse falsifiée cause la connexion à example.com avec le nom d'utilisateur www.paypal.com et le mot de passe refID12344234324. Une variante à l'utilisation du '@' consiste à utiliser un sous-domaine, par exemple http://www.paypal.com.example.com/. Une parade des navigateurs consiste à avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Les navigateurs peuvent aussi reposer sur une liste noire de sites malveillants.

Si un message semble bizarre ou requiert une action immédiate: NE FAITES RIEN.

• Ou plus précisément, adoptez la technique de certains serveurs de messagerie baptisée "greylisting" : PATIENTEZ.
• Relisez le courriel 24 ou 48h plus tard. (Entre temps, vous aurez réfléchi, "googlé" et demandé des conseils à votre famille/amis/collègues/etc. au sujet de ce message).

Il y a de fortes chances que vous preniez alors la bonne décision.

Si vous envisagez de cliquer sur un lien contenu dans un e-mail, ne le faites pas directement. Copiez-collez le au moins dans la barre de votre navigateur, afin de voir où vous serez redirigé.

(Un système d'affichage d'URLs raccourcies pourra se révéler utilse à ce stade).

Et si jamais vous tombiez néanmoins dans un piège après ce délai, la menace sera probablement circonscrite (bloquée par les navigateurs, supprimée par l'hébergeur, identifiée par les solutions de sécurité, etc.).

Le service Phishing Initiative offre à tout internaute la possibilité de lutter contre les attaques de phishing.

En dénonçant ici l'adresse d'un site de phishing francophone, chaque site fera l'objet d'une validation et d'un blocage dans les navigateurs.

En contribuant à ce projet vous diminuez l'impact de cette cybercriminalité et empêchez les autres internautes d'être victime de la fraude.

Phishing Initiative est un projet conjoint de Paypal, Microsoft et du CERT-LEXSI.

Ainsi si vous recevez un e-mail de type « phishing » envoyez gratuitement via l’adresse : http://www.phishing-initiative.com/ l’information à ce site qui une fois l’adresse contrôlée bloquera directement le site web derrière cette attaque pour les navigateurs web Internet Explorer et Firefox.

Pour synthétiser le tout, le plus important est de prendre en compte qu’un organisme financier ne vous demandera jamais par e-mail de confirmer un mot de passe ou un numéro de carte de crédit. Si vous n’êtes pas sur appelez l’expéditeur du message qui vous confirmera l’opération à effectuer ou non.

L’internet est truffé de pièges, à vous de bien vous en protéger.