Piratages sur Internet: explication du phishing et du spearphishing

[ware_item id=33][/ware_item]

Hameçonnage


Le phishing, la pêche prononcée, est une technique d'ingénierie sociale conçue pour voler des mots de passe, des détails de carte de crédit et d'autres informations sensibles. L'objectif ultime est d'utiliser ces informations d'identification pour accéder à encore plus d'informations, telles que les réseaux sociaux et les comptes bancaires.

Une attaque de phishing peut être effectuée par e-mail, téléphone ou SMS et contient généralement un lien vers un site contrôlé par les attaquants qui vous invitera à saisir vos informations de connexion. L'e-mail peut être conçu pour ressembler à un e-mail Dropbox ou Facebook ordinaire, par exemple, et un lien vers un faux site qui ressemble exactement à Dropbox ou Facebook. Vous pouvez trouver de nombreux exemples ici.

Phishing sur Facebook et autres attaques

Les e-mails de phishing contiennent souvent du contenu à consonance innocente, tel que «quelqu'un vous a mentionné sur Facebook» ou «J'ai partagé un document avec vous sur Dropbox». L'attaquant s'attend à ce que vous cliquiez sur ces liens sans vérifier leur authenticité, puis saisissez vos informations d'identification. Souvent, le site Web de phishing vous redirigera vers la page de connexion du site réel, où vous serez invité à saisir à nouveau les informations d'identification, cette fois légitimement. Comme vous êtes maintenant connecté au site Web, nous espérons que tout soupçon disparaîtra.

Pendant ce temps, l'attaquant a collecté et stocké votre nom d'utilisateur et votre mot de passe et peut les utiliser à volonté. S'ils ont accès à votre compte de messagerie, ils peuvent réinitialiser le mot de passe de chaque compte lié à votre adresse e-mail, puis les contrôler également.

Pire encore, les informations contenues dans votre boîte de réception peuvent permettre à un attaquant de planifier le moment idéal pour venir après vos comptes financiers, comme lors d'une maladie ou d'un long vol.

Adresses d'usurpation d'identité et e-mails de phishing

Les attaquants utilisent principalement deux astuces technologiques pour réussir à hameçonner les gens: usurper des courriels ou des appels téléphoniques; tout le reste tourne autour de l'utilisation d'un bon timing, d'un langage crédible et d'un excellent design.

Les adresses e-mail et les numéros de téléphone sont très faciles à usurper, vous ne pouvez donc pas vous fier à une adresse e-mail prétendant provenir de [email protected] pour avoir réellement été envoyée par Facebook. De nombreux services de messagerie vérifient les signatures cryptographiques prouvant qu'un e-mail a été envoyé à partir d'un domaine particulier, mais ces signatures ne sont toujours pas standard sur le Web, leur absence n'est donc pas la preuve d'un faux message.

De même, un appel provenant d'un numéro connu, par exemple de votre banque, peut arriver sur votre téléphone. Mais il n'y a aucune preuve que cet appel provient vraiment de ce numéro. En cas de doute sur un numéro ou une adresse e-mail usurpé, écrivez ou rappelez et attendez une réponse.

Fausse URL et sites Web de phishing

En plus d'usurper les adresses e-mail, les attaquants enregistreront des URL qui imitent celles de sites légitimes. Ils le font souvent en remplaçant légèrement l'ordre des lettres, comme goolge.com. Une autre tactique consiste à enregistrer des domaines d'apparence innocente et à utiliser des domaines à consonance légitime comme sous-domaines, tels que facebook.com.importantsecurityreview.co.

Comme l'attaquant est vraiment le propriétaire de ces sous-domaines, il peut obtenir un certificat de sécurité HTTPS pour celui-ci, ce qui donne au site une apparence légitime.

phishing-examplesLes attaquants pêcheront vos données.

La différence entre le phishing et le spearphishing

Le spearphishing est une attaque de phishing visant particulièrement à vous, plutôt que d'être diffusée comme du spam vers n'importe quelle adresse e-mail qu'ils peuvent trouver. Ces attaques de phishing se sont révélées particulièrement fructueuses, car les e-mails peuvent être dirigés personnellement et être adaptés à un contexte spécifique, ou s'insèrent souvent dans une attaque plus vaste et sophistiquée..

Pour utiliser l'analogie de la pêche: au lieu de laisser tomber votre appât dans l'océan et d'attendre que n'importe quel poisson morde, le harpon suit précisément un seul poisson et l'attaque individuellement.

Par exemple, si vous êtes pigiste, vous pouvez trouver une demande pour vos services dans votre boîte de réception. Il peut alors vous demander de télécharger vos lettres de référence dans un dossier Dropbox, et au lieu de créer un lien vers ce dossier directement, vous êtes dirigé vers un site de phishing. Après avoir tapé votre mot de passe sur le site de phishing, vous pourriez être redirigé vers un véritable dossier Dropbox, et ne soupçonner aucun jeu déloyal.

Les attaques par spearphishing sont très courantes dans les grandes organisations, où les entreprises criminelles, les concurrents et les gouvernements peuvent cibler les employés, souvent trouvés sur LinkedIn, pour recueillir des informations sur l'organisation et trouver les points faibles du réseau.

Repérer une protection contre les attaques et le phishing

L'authentification à deux facteurs peut offrir une protection contre certaines attaques de phishing, car elle rend difficile pour l'attaquant d'accéder à plusieurs reprises à votre compte. Mais les attaques de phishing sophistiquées ne stockeront pas simplement vos informations d'identification, mais vous connecteront simultanément à votre compte. De cette façon, l'attaquant peut immédiatement savoir si les informations d'identification recueillies fonctionnent, et sinon, vous demander à nouveau le mot de passe.

Si les attaquants rencontrent un captcha ou une authentification à deux facteurs, ils vous demanderont d'entrer le code dans une fenêtre sur leur faux site, puis de l'utiliser pour vous connecter à votre compte réel.

Facebook et certaines autres sociétés vous permettent de télécharger votre clé PGP sur leurs serveurs. Après cela, tous les e-mails que vous recevrez de Facebook seront cryptés et signés, ce qui vous permettra de vérifier leur authenticité beaucoup plus facilement. De plus, si quelqu'un devait avoir accès à votre compte de messagerie, il ne pourrait pas lire vos notifications ou réinitialiser votre mot de passe Facebook.

Malheureusement, la seule protection durable contre les attaques de phishing est un scepticisme sain, une diligence raisonnable et une forte conscience. De nombreuses organisations testent régulièrement leurs employés sur leur capacité à détecter et à éviter les escroqueries par phishing. Dans les entreprises où la cybersécurité est de la plus haute importance, la chute répétée de ces tests de phishing est un motif de licenciement.

Image à la une: Kluva / Deposit Photos
Phishing: alexandragl / Photos de dépôt

Piratages sur Internet: explication du phishing et du spearphishing
admin Author
Sorry! The Author has not filled his profile.