Le phishing ou hameçonnage est un mélange de spamming et de social engineering. Il consiste à contrefaire la communication d’une marque, d’un e-mail jusqu’à son site internet, pour mettre en confiance le contact et l’amener à laisser des données confidentielles (comme son numéro de carte bancaire).
Une opération de phishing type se déroule en 2 temps
Dans un premier temps, il s’agit de vous mettre en confiance. Dans de nombreux cas, le message vous propose de vérifier votre compte.
Sa rédaction doit déjà éveiller l’attention : « votre service de compte en ligne il est indisponible… svp verify… pour le effectuer». Il faut cliquer sur un lien pour aboutir sur une contrefaçon d’un site assez crédible! Le fait de remplir le formulaire permet évidemment au pirate de récupérer vos codes pour une utilisation ultérieure…
Le phishing dans le monde
Le Phishing reste l’une des menaces les plus universelles (elles fonctionnent sur tous les systèmes et tous les terminaux) et les plus complexes à contrer pour les entreprises. Rien qu’en 202, plus de 12 millions d’e-mails de phishing et d’ingénierie sociale ont atterri dans les boîtes email de plus de 17 000 organisations américaines.
Des noms de domaines
La première étape pour un pirate est de disposer d’un nom de domaine crédible. Il pratique alors du « cybersquating » en déposant des noms de domaines proches.
Dans le cas ci-dessus, ce sera « secure.banquepopulaire.fr ». Les règles de dépôts sont suffisamment (trop ?) Souples pour permettre ce genre de sport sans parler d’astuces comme par exemple le « w » qui pourra être contrefait par deux « v » accolés.
Le pirate a aussi la possibilité de créer des noms de domaine comme « verification.com » ce qui lui permettra de faire un lien comme « [email protected] ».
D’autres techniques exploitent les faiblesses du protocole HTTP en codant l’adresse en hexadécimal ou en la camouflant en partie avec des codes du type %00. Dans ce cas, l’adresse «http://fr.wikipedia.org%[email protected] » apparaîtra alors comme « http://fr.wikipedia.org ».
Le pied dans la porte (*)
Le Social Engineering est la technique de base du phishing consiste à créer un climat de confiance qui va permettre au pirate de manipuler le contact afin de lui voler son identité.
La première action demandée va être de peu d’importance. C’est une mise en condition qui va utiliser des ressorts puissants (peur, envie, séduction…) et qui a pour objectif d’entraîner une première décision qui sera, sans conséquence grave comme par exemple, cliquer sur le lien proposé. C’est à ce stade que le piège se referme.
Sur la 2e page, le contact, mis en confiance, doit alors reconduire sa première décision en délivrant les renseignements convoités.
Les réseaux sociaux ne sont pas à l’abri
Ils donnent un sentiment illusoire de sécurité car l’on s’y confie largement.
Dans l’exemple ci-dessus, il faut que le contact ait impérativement un compte à la Banque Populaire. Il faut donc s’en remettre au hasard, ou posséder des informations sérieuses sur ce dernier.
Les réseaux sociaux comme Facebook où il est si facile de se faire « des amis » sont des lieux propices pour récupérer des profils utilisables par la suite. Il suffira alors de contrefaire les pages de Facebook pour récupérer les données personnelles et des e-mails.
Comment s’en prémunir ?
Il n’y a pas de méthode particulière, hormis le fait d’être attentif et d’avoir du bon sens : l’orthographe, les liens, la plausibilité de la communication.
Si l’e-mail demande des informations personnelles et si l’adresse du lien vous paraît suspecte, un doute sérieux doit être de mise. Très pratique : les versions récentes de certains navigateurs intègrent des alertes qu’il est conseillé de suivre. Ne perdez jamais de vue que vos informations personnelles ont de la valeur car elles peuvent être utilisées contre vous.
