Qu’est-ce que du Phishing ?
Le phishing est une technique d’escroquerie consistant à usurper l’identité d’un organisme de confiance sur un système informatique et d’amener les victimes à divulguer des données sensibles (coordonnées bancaires, identifiants, mot de passe, etc.) auprès de phishers.
Historique
Les principes du phishing ont été exposés lors de la conférence Interex de 1987 par Jerry Felix and Chris Hauck. Le terme “phishing” apparaît quant à lui en 1996 sur des newsgroups après une vague de vols d’identifiants de compte AOL par des pirates se faisant passer pour des employés de la compagnie sur son système de messagerie instantanée.
Le principe du phishing se généralise alors à l’usurpation de toute sorte de compte mais c’est en 2001 que le phénomène perce auprès du grand public avec 2 tentatives de phishing contre le système de monnaie électronique e-Gold : la seconde fut particulièrement célèbre pour utiliser les événements du 11 septembre pour convaincre les victimes que des vérifications techniques sur leurs comptes étaient nécessaires.
Le phénomène commence à prendre une ampleur importante à partir de 2004 où des estimations de plusieurs centaines de millions de dollars de pertes liées au phishing se mettent à circuler. Les méthodes de mises en oeuvre du phishing se multiplient à cette époque.
Mise en oeuvre
Une opération de phishing se déroule en principe en 2 temps : l’approche de la victime puis la récupération de ses informations. Pour chacune de ces étapes, plusieurs variantes existent.
L’approche
L’objectif de l’approche est contacter un maximum de victimes par un mode qui soit suffisamment convaincant pour ces dernières accordent une confiance suffisante pour leur délivrer des informations sensibles.
Plusieurs leviers peuvent être utilisés pour ce faire :
-
les emails (cas le plus fréquent)
-
le hacking d’un site pour qu’il redirige vers un site frauduleux
-
la voix sur IP (vishing)
-
les messageries instantanées
-
des liens transmis sur les réseaux sociaux
-
l’approche ciblée (spear phishing) visant une personne en particulier qui peut multiplier les approches. Lorsque le spear phishing vise une personne à forte responsabilité, on parle de whaling.
-
le tabnabbing
La récupération des informations
Les informations intéressant les arnaqueurs peuvent être récupérées de plusieurs manières :
-
la victime les transmet volontairement (par email, téléphone, etc.) pensant les envoyer à des organismes légitimes
-
la victime les saisit dans une copie d’un site qu’elle croit être de confiance
-
la victime télécharge un logiciel espion envoyé par le phisher sur un son poste de travail. L’arnaqueur utilise ensuite la backdoor qu’elle a installée malgré elle pour récupérer les informations souhaitées.
Comment reconnaître une arnaque de phishing ?
Les systèmes antivirus et antispam peuvent fournir des informations filtrant un email de phishing ou affichant un avertissement signalant un risque. Les navigateurs web ainsi que plusieurs extensions pour ces navigateurs peuvent également avertir d’un site de phishing lors de l’affichage d’une page web suspecte.
Ces systèmes n’étant pas infaillibles, certains indices parmi les suivants permettent d’identifier une tentative de phishing :
-
la présence de fautes d’orthographe inhabituelles pour un organisme de confiance
-
la demande d’information confidentielles comme un mot de passe (chose qu’un organisme de confiance ne fait jamais
-
un nom de domaine légèrement différent du domaine habituellement utilisé par l’organisme (ex : caisse-d-epargne.fr au lieu de caisse-epargne.fr)
Approche technique d’identification d’un phishing reçu par mail
Les phishers utilisent plusieurs techniques pour masquer leur identification ainsi que celle du site usurpé. Le guide suivant permet à ceux qui le souhaitent de creuser l’aspect technique et ainsi de se prémunir plus efficacement de ce type d’arnaque : sa-cours-arnaque-1606a
Comment se prémunir du phishing ?
-
Utiliser une extension navigateur sécurisant la navigation web (par exemple, WOT: Web Of Trust).
-
Utiliser un anti-virus permettant de détecter des logiciels espions éventuellement téléchargés
-
Ne jamais donner de mot de passe en réponse à un appel ou à un email
-
Ne jamais cliquer dans un lien fourni dans un email pour vous connecter à un site comportant des informations sensibles (banque, Paypal, impôts, etc.)
Articles connexes
Je bricole des choses sur le web depuis la création de ma première société en 2004. Je fais partie de l’aventure Signal Arnaques (mais aussi Scamdoc et Scampredictor) depuis ses débuts, en particulier pour m’occuper des aspects techniques.