Au cours des dernières années, une nouvelle technique d’attaque a connu un essor extraordinaire : le phishing. Pour preuve bon nombre de banques diffusent désormais, de manière quasi permanente, des messages d’alertes aux utilisateurs sur leurs pages.
Ce document résumera les techniques de détection d’attaques par phishing ainsi que les bonnes pratiques pour y faire face.
1. Définition
Le terme phishing désigne une technique utilisé par des escrocs sur internet pour obtenir des informations personnelles. Les escrocs se font souvent passer pour un organisme de confiance (organisme bancaire, Paypal, eBay, Amazon …), dans le but d’obtenir des données confidentielles. Selon les données récoltées (informations bancaires, identifiants de connexions …), les escrocs peuvent par exemple réaliser des virements bancaires sur leurs comptes ou se connecter à un site pour envoyer du spam.
Le phishing n’est pas une méthode basée sur une faille informatique, mais sur la naïveté des internautes. Les individus malintentionnés vont parfois jusqu’à copier le site web d’un organisme, point par point. Lorsque l’utilisateur souhaite se connecter au faux site il envoie involontairement ses données de connexion aux escrocs.
La francisation du mot phishing peut être “hameçonnage” ou “filoutage“. Le terme “hameçonnage” est une métaphore représentant les escrocs qui pêchent les informations à partir d’un hameçon. L’hameçon pouvant être un email ou un faux site web.
2. Les types de phishing
Il existe 3 types de phishing
2.1. Phishing
Le phishing est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations sensibles, personnelles et/ou confidentielles (coordonnées bancaires, vol d’identité…) appartenant à des internautes. Pour cela, ils reproduisent parfaitement le design d’un site commercial légitime, d’un fournisseur d’accès à Internet, d’une banque, etc.
2.2. Spear phishing
Le spear phishing est une variété du phishing . Ce qui distingue le spear phishing des autres types de phishing, c’est qu’il cible une personne spécifique, ou les employés d’une entreprise spécifique.
Ce ciblage rend le spear phishing encore plus dangereux ; les cybercriminels rassemblent des informations sur la victime de manière méticuleuse. Un e-mail de spear phishing bien fait peut-être très difficile à distinguer d’un e-mail authentique. Le spear phishing permet donc de faire marcher la victime plus facilement.
La réussite d’un spear phishing dépend de trois facteurs :
- La source apparente doit se présenter comme une personne connue et approuvée
- Certaines informations contenues dans le message doivent soutenir cette validité
- La demande de l’expéditeur doit donner une impression de logique fondée.
Le spear phishing est un outil pour des attaques majeures contre les grandes entreprises, les banques ou les personnes influentes. Il est déployé dans de grandes campagnes APT comme Carbanak ou BlackEnergy. Le spear phishing a aussi été utilisé lors des attaques Bad Rabbit qui ont commencé par une infection par e-mail.
2.3. Whaling
Ce type de phishing cible les cadres supérieurs ,les utilisateurs finaux de haut niveau tels que les dirigeants d’entreprise , les politiciens et les célébrités en utilisant leur nom, le nom de leur entreprise et leur numéro de téléphone.
Comme pour tout effort de phishing, le but de Whaling est de tromper quelqu’un en lui faisant divulguer des informations personnelles ou d’entreprise par le biais d’une ingénierie sociale, d’une usurpation d’e-mails et d’usurpation de contenu. L’attaquant peut envoyer à sa cible un e-mail qui semble provenir d’une source fiable ou attirer la cible vers un site Web spécialement créé pour l’attaque.
3. Les vecteurs de phishing
Les vecteurs les plus populaires d’infection des postes utilisateur:
- Email avec les logiciels malveillants attachés (masqué dans un zip ou image ou film)
- Email avec des liens vers des serveurs web conçus / adaptés pour infecter des ordinateurs clients
- Clés USB infectées par un logiciel malveillant
- Téléchargements de logiciels populaires, offerts dans une version infectée
- Visiter des sites populaires qui ont été infectés par des logiciels malveillants.
- L’infection de masse des fournisseurs de services, de cette façon, de nombreux sites Web basés sur WordPress ou Joomla, desservant de nombreux domaines, peuvent facilement être infectés par du contenu phishing / Malware.
4. Traitement
4.1. Identification
Il n’est pas toujours facile de distinguer entre un e-mail légitime et un e-mail destiné à vous extorquer des informations personnelles (login, mot de passe, n° de carte bancaire, …).
En effet, les attaquants sont de plus en plus malins et imitent des contenus connus : ainsi, même une personne sensibilisée et attentive pourrait « se faire avoir ».
Comment donc identifier un e-mail de phishing ?
- Sur le fond, la chose est claire : tout message vous demandant, pour une raison ou pour une autre, de vous connecter impérativement sur un site Web est susceptible d’être piégé.
- Sur la forme, même si certains messages sont excellemment imités, la mise en page est la plupart du temps assez hasardeuse et des indices devraient vous mettre la puce à l’oreille.
- L’adresse e-mail de l’expéditeur non reconnue ou pas l’adresse habituelle du service censé vous l’envoyer, c’est mauvais signe.
- Quand le message contient des fautes d’orthographe ou des tournures de phrase incorrectes, vous pouvez être certain qu’il est piégé.
- L’email contient un lien qui pointe vers un autre site que le site officiel.
- L’e-mail vous invite à vous connecter à un site de banque (un site commercial ou un site de paiement…).
- Le prétexte peut varier : on vous demande, pour des raisons de sécurité, de mettre à jour vos données ou de changer votre code ou encore de régulariser une facture impayée… Par exemple, le message peut avoir pour objet :
- “confidentiel” ou
- “nous avons remarqué un problème sur votre compte” ou
- “votre compte a été restreint” ou
- ” votre carte bancaire est suspendue”, etc.
4.2. Protection
- Vérifiez toujours le lien que vous allez ouvrir.
- Saisissez vos noms d’utilisateur et mots de passe uniquement quand vous utilisez une connexion sécurisée. Si vous voyez le préfixe « https » devant l’adresse d’un site, cela signifie que tout va bien. S’il n’y a pas de « s », méfiez-vous.
- Ne jamais utiliser un lien reçu par email ou obtenu après avoir scanné un code QR pour se connecter à un service de banque en ligne.
- Ne jamais remplir de formulaires envoyés par courriel dans lequel on demande d’indiquer ses données d’identification.
- Ne jamais révéler d’informations confidentielles, comme par exemple les mots de passe, par téléphone.
- Toujours taper manuellement l’adresse de la page de connexion de l’institut financier.
- Vérifier la connexion SSL.
- Toujours s’adresser directement à son institut financier en cas de doute.
- Opter pour des navigateurs Internet intégrant des outils de lutte contre le phishing.
- Etc…
4.3. Détection
Détectez les indices de phishing
- Informations douteuses ou incohérentes
- Langue étrangère
- Fautes d’orthographe
- Message alarmiste et urgent
- Message concernant votre carte bancaire ou la gestion de vos comptes vous demandant de communiquer des informations telles que vos identifiants de connexion, votre numéro de carte bancaire…
4.4. Réponse
Si vous avez reçu un spam sur votre messagerie électronique, ou si le message paraît être une tentative de phishing, ne répondez pas et n’ouvrez pas les pièces jointes, les images ou les liens contenus dans le message.
- Signalez-le à la plateforme Signal Spam.
Si vous avez été victime d’un phishing, vous pouvez le signaler aux autorités compétentes pour améliorer la lutte contre le piratage.
- Contactez votre banque
Si vous avez reçu un phishing qui tentait de se faire passer pour votre banque, contactez rapidement le service client de votre établissement bancaire pour éviter que d’autres clients ne se fassent escroquer.
- Informer le Financial CERT
Les RSSI des banques et des établissements financiers doivent informer le CERT bancaire pour lui permettre de mener une investigation immédiate.
- Informer le CERT National
Le CERT bancaire doit informer le CERT national au sujet de l’alerte, qui par la suite va communiquer avec :
* Des CERT Internationaux si l’attaque provienne d’une @IP étrangère
* Investigateur en cybercriminalité tel que la Police
4.5. Recouvrement
Cette étape consiste à développer et mettre en œuvre des activités appropriées pour maintenir les plans de résilience et de restaurer toutes les capacités ou les services qui ont été altérés suite d’un incident.de cybersécurité. La fonction de récupération prend en charge le rétablissement rapide des opérations normales afin de réduire l’impact d’un incident de cybersécurité.
Article de: Financial CERT