Archives par étiquette : phishing

Anatomie d’un phishing (presque) ordinaire

Le phishing fait des ravages depuis longtemps, mais force est de constater qu’il évolue sans cesse afin de déjouer la vigilance des utilisateurs et des outils de sécurité en charge d’éradiquer les mails douteux. Une campagne récente (active en décembre 2020) visant le portefeuille Ledger constitue une excellente occasion de voir, par l’exemple, les techniques employées en ce moment.

Continuer la lecture

Filoutage

Une page spéciale est consacrée au phishing (ou en français « hameçonnage », mais c’est pas très joli). Il s’agit d’une menace classique mais très répandue.

Il s’agit d’un procédé dont le but est de vous faire avouer vos codes secrets (mot de passe) ou vos coordonnées bancaires en se faisant passer pour un mail officiel.

Principe

On vous envoie un mail qui imite ceux de l’organisme visé (une banque ou un site marchand en général) qui vous incite à resaisir vos mots de passe, sous un (fallacieux) prétexte de mise-à-jour de sécurité ou n’importe quoi d’autre. Pour cela, le mail contient un lien web sur lequel vous devez cliquer pour resaisir votre mot de passe. Or ce lien web vous envoie vers un faux site lui aussi semblable au site officiel, mais ce faux site n’a d’autre but que de stocker vos codes secrets…

Soyez extrêment vigilants !

Quelques indices doivent vous mettre la puce à l’oreille…

Le message n’est pas en français ou est dans un français approximatif : les organismes officiels et les banques français communiquent souvent en français et le texte est souvent lu, relu et vérifié… Le message vous incite à ressaisir votre mot de passe : à ma connaissance, aucune application informatique sérieuse n’a besoin qu’on ressaisisse des données (surtout un mot de passe !) suite à une mise-à-jour ni même suite à un piratage… Il n’y a que pour des petits sites web amateurs ou des informaticiens de (très) bas étage que des données sont perdues. Sinon les sauvegardes et les procédures sérieuses de test empêchent ce genre de problème. Le lien proposé ne correspond pas à ce qui est affiché : on vous affiche un lien avec un texte qui semble sérieux, mais en passant la souris par dessus, on peut voir l’adresse réelle vers où le lien vous dirige, en regardant en bas de votre navigateur.

Qu’est-ce qu’un « faux » lien web ?

Ça n’est pas à proprement parler un faux lien, c’est juste que naturellement on a tendance à croire ce qu’on voit. Il est également habituel sur les sites web que le texte affiché corresponde au lien vers lequel on est redirigé.

Exemple : secu.si

Passez votre souris par dessus le texte, et regardez en bas de votre navigateur : vous allez voir (tout en bas) l’adresse vers laquelle vous êtes redirigé. J’ai écrit cette page web de manière à ce que le texte de la page et l’adresse du lien soient les mêmes.

Mais tout ceci n’est pas obligatoire : rien n’empêche d’afficher un texte qui ne soit pas l’adresse du site mais un texte en clair…

Mais là où ça devient dangereux c’est quand des petits malins affichent un texte qui semble être une adresse web et qu’ils vous redirigent vers une autre adresse ! Ils jouent sur notre habitude que le lien web correspond très souvent au texte affiché. Rien de plus… Ci-dessous, vous avez un exemple qui vous permet de mettre ce que vous voulez comme texte. Et vous verrez que vous ne serez pas du tout dirigé vers le site que vous afficherez…

Une autre forme de filoutage, plus perverse : l’homographie. Ici, l’adresse semble correcte, visuellement, mais ce n’est qu’une apparence trompeuse, jouant sur la diversité des alphabets mondiaux et leur représentation graphique, parfois équivoque.

Les parades

  • Le bon sens
  • Taper soi-même l’url

L’évolution

Les attaques informatiques ciblent de plus en plus les utilisateurs, puisque les infrastructures sont de plus en plus sécurisées : il devient donc difficile d’attaquer directement les machines, donc on passe par l’utilisateur qui est faillible, et dont le niveau de vigilance ne peut être constant.

Il faut s’attendre (cf. tendances 2020) à ce que les mails soient de mieux en mieux écrits, comme dans le cas d’une attaque contre les Nations Unies1 début 2020.

Outils