Le phishing n’est pas un territoire inconnu pour nous. Dans l’un de nos anciens blogs, nous avons décrit les méthodes des pirates informatiques. Ils utilisent des courriels de phishing pour tromper les utilisateurs de diverses manières, en leur faisant télécharger des pièces jointes malveillantes ou en leur faisant visiter des sites web malveillants. Rien qu’en 2016, le nombre d’attaques de phishing a augmenté de 400 % et il semble que cela va se poursuivre cette année. C’est pourquoi nous aimerions vous fournir aujourd’hui davantage d’informations pour mettre fin au phishing et vous informer sur les sites de phishing comme méthode d’attaque.
Les courriels malveillants ne sont qu’une partie du processus de phishing. L’attaquant potentiel crée généralement un faux site web pour inciter les utilisateurs à entrer leurs informations de connexion ou leurs coordonnées bancaires, qui sont ensuite librement accessibles à l’attaquant. Des millions d’utilisateurs ont été victimes de tentatives d’hameçonnage au fil des ans. L’efficacité de ces attaques est visible dans le cas spectaculaire de 2013. Trois pirates informatiques ont été arrêtés au Royaume-Uni pour avoir tenté de voler plus de 60 millions de livres sterling à des clients peu méfiants en utilisant plus de 2600 faux sites bancaires.
Pour éviter d’être victime de telles attaques, nous avons résumé les scénarios les plus courants que l’on trouve sur les sites de phishing, ainsi que des conseils sur la manière de les repérer afin de ne pas transmettre accidentellement vos données.
Comment les sites de phishing vous touchent-ils ?
Scénario 1 : Ouverture d’un e-mail de phishing – Débâcle de l’e-mail de Nick
Commençons par un scénario familier. Nick travaille dur pour son argent. Il a économisé un million de dollars américains pour sa retraite. Quelques mois avant sa retraite méritée, Nick reçoit un courriel de sa « banque » lui demandant de mettre à jour les informations de son compte. Il se connecte au « site web de sa banque » et modifie ses coordonnées. Le lendemain, il doit se rendre compte que toutes ses économies ont disparu. En 2012, c’est en fait ce qui est arrivé à une femme de Grande-Bretagne.
Un bon exemple de site web digne de confiance serait celui-ci : https://pasino.ch – On y voit très bien que le SSL, ainsi qu’une empreinte, de solides références et des personnes de contact assurent la confiance et la sécurité.
Scénario 2 : Cliquer sur des bannières publicitaires suspectes – le dilemme publicitaire de Maria
La publicité est souvent choisie comme moyen de lancer des attaques de phishing. Maria, par exemple, a cherché en ligne des recettes simples. Elle a entré « des recettes simples de gâteaux » sur Google et sans prêter attention au lien, elle a cliqué sur l’annonce Google promettant « des recettes simples de gâteaux ». Sur le site web lié, on lui a demandé de donner les détails de sa carte de crédit en échange de recettes. Heureusement, Maria est devenue méfiante et a immédiatement quitté le site. Elle a donc échappé de justesse à l’attaque de phishing par une fausse publicité Google qui a fait le tour en 2014.
Scénario 3 : Accès via une fausse page de connexion – Le fiasco du gouvernement de Sophia
Les attaquants ne reculeront devant rien pour obtenir des informations. Par exemple, dans le cas de Sophia, qui veut renouveler son passeport. Sophia utilise le moteur de recherche pour trouver le bureau de passeport local et sélectionne le premier lien qui s’affiche. Elle n’y a pas pensé, car la page d’ouverture de session avait l’air comme prévu. Après avoir saisi ses coordonnées, elle a été surprise de ne pas recevoir de courriel de confirmation du bureau des passeports. Le lendemain, elle a remarqué que ses comptes avaient été consultés. C’est ce qui est arrivé aux résidents de Singapour l’année dernière qui sont tombés amoureux d’une fausse page de connexion du gouvernement.
Scénario 4 : Échange via les médias sociaux – Robert’s Twitter s’inquiète
Robert a un problème avec sa banque et espère une réponse rapide via Twitter. Il contacte le compte Twitter de sa banque avec son problème. En quelques heures, un « employé de banque » le contacte et lui donne un lien vers la « page d’aide de la banque ». Heureusement, Robert n’est pas tombé dans le panneau, car il sait que les comptes non vérifiés ne sont pas fiables. Robert a donc été confronté à l’une des tentatives les plus fréquentes d’attaques de phishing via les médias sociaux et a heureusement réussi à s’échapper.
Conseils pour détecter les sites de phishing
Vous avez certainement remarqué que tous les scénarios ci-dessus sont basés sur de véritables attaques de phishing. Nick, Maria, Sophia et Robert sont peut-être des personnages fictifs, mais les dangers décrits sont réels. Voici quelques conseils utiles pour éviter le phishing via des sites web malveillants. Divisons les solutions en deux catégories.
Avant de cliquer
Vérifiez toujours soigneusement l’URL avant de cliquer. Si vous recevez un lien par courrier électronique, par un média social ou autre, prenez le temps de vérifier le lien avant de le cliquer. Il n’est pas nécessaire d’être un expert pour repérer les liens suspects. Faites attention aux caractéristiques les plus communes. Les faux liens tentent généralement d’imiter le site web existant, souvent en ajoutant des mots ou des domaines supplémentaires inutiles.
Avant de cliquer sur les hyperliens, déplacez le pointeur de la souris sur ceux-ci. Par exemple, dans l’exemple ci-dessous, dont nous avons également discuté dans notre précédent blog, vous pouvez voir que l’hyperlien mène de « Cliquez ici » à « http://… ». Il y a quelques caractéristiques qui devraient vous faire réfléchir. 1) globalsign.uk n’est pas un domaine légitime de GlobalSign 2.) Le domaine est suivi de l’ajout « contrôle des virus », et 3) Les nombreux caractères à la fin de l’URL.
Identifier la source du lien. Connaissez-vous la personne qui vous a envoyé le lien ? Si vous avez le moindre doute, ne cliquez pas. Dans l’exemple précédent, Robert a remarqué le mauvais représentant avant de cliquer sur le lien. Les attaquants aiment créer de faux comptes, allant des plus bizarres (par exemple une « autorité bancaire de confiance » générale) aux plus crédibles (par exemple Peter Maier à Deutsche Telekom). Faites donc attention aux profils des personnes avec lesquelles vous communiquez et découvrez s’ils existent vraiment.
Après avoir cliqué sur
Vérifiez l’URL AVANT d’entrer toute information. Vous avez accidentellement cliqué sur un lien de phishing. Il n’est pas trop tard ! Comme mentionné ci-dessus, vérifiez l’URL du site web et recherchez les caractéristiques typiques. Les liens provenant de faux sites web contiennent souvent de nombreux caractères insignifiants dans la ligne d’adresse ou le texte supplémentaire.
Voir l’exemple ci-dessous de l’arnaque Gmail qui a fait le tour de la question au début de l’année. Bien qu’il comporte la partie texte « comptes.google.com » et semble donc légitime, le texte supplémentaire devrait sonner l’alarme pour signaler qu’il s’agit d’un site d’hameçonnage ou malveillant.
Recherchez un sceau de confiance/un sceau. La plupart des sites réels utilisent des sceaux de confiance pour indiquer le degré de sécurité de votre site (par exemple en affichant un niveau de confiance ou des pages de vente, ou si le site est crypté avec SSL/TLS). Les sites qui recueillent des informations de connexion ou de paiement doivent afficher un sceau de confiance ou un sceau de site sécurisé pour assurer aux utilisateurs que le site est légitime. Recherchez ces marques de confiance et vérifiez également si le fournisseur est un fournisseur de sécurité en ligne bien connu. Les sceaux sont pour la plupart interactifs, il peut donc être utile de cliquer sur le sceau pour en savoir plus sur le site.
Consultez la barre d’adresse pour obtenir des informations sur l’entreprise. Les certificats SSL/TLS jouent un rôle important dans la sécurité de l’internet. Ils cryptent les sessions et protègent les informations envoyées entre les navigateurs et les serveurs web.
Le SSL Extended Validation (EV), le plus haut niveau de SSL, ajoute encore un autre élément important en affichant clairement l’identité vérifiée du fournisseur dans la barre du navigateur, généralement avec la barre d’adresse verte dédiée.
Cela vous permet de voir immédiatement si le site est effectivement géré par la société que vous avez indiquée, ou s’il s’agit d’un site de phishing ou d’imitation. La majorité des leaders du marché, ceux qui sont les plus fréquemment victimes du phishing, utilisent le SSL EV. Il est donc facile de vérifier et de contrôler la page par le nom de la société dans l’URL. Alors que le nombre et le professionnalisme des attaques de phishing augmentent, il est de plus en plus important pour nous qu’un nombre croissant d’entreprises utilisent EV pour protéger leurs sites contre les imitateurs.
Vérifiez l’adresse du site web pour les homographes. Certains navigateurs populaires ne peuvent pas reconnaître d’autres langues, comme l’alphabet cyrillique. Un pirate informatique peut enregistrer un domaine comme xn--pple-43d.com, qui est l’équivalent de apple.com, et ensuite acheter un certificat SSL pour celui-ci. C’est ce que l’on appelle également l’usurpation de scénario. L’alphabet cyrillique compte près de 11 caractères qui ressemblent exactement au caractère latin. Les autres alphabets qui ont des images similaires aux caractères latins sont grec, arménien, hébreu et chinois. Certaines combinaisons permettent de créer et de sécuriser des domaines frauduleux, ce qui rend presque impossible de distinguer le vrai domaine du faux.
Mais seulement presque ! Il existe un moyen de détecter ce type d’attaque. Si vous pensez que le lien est suspect, copiez-le dans une autre fenêtre…
C’est très simple. Le vrai domaine est immédiatement affiché et vous savez que le site web n’est pas digne de confiance.
Vous pouvez également identifier les homographes en cliquant sur les détails du certificat pour voir quel domaine est sécurisé par le certificat. Dans l’exemple ci-dessus, le certificat serait délivré à « https://www.xn--80ak6aa92e.com/ » et non à « apple.com ».
Les attaques par hameçonnage pourraient augmenter dans les années à venir, mais tant que vous serez prêt à les détecter, de moins en moins de victimes tomberont sous le charme des méthodes de vol bon marché. La meilleure façon de se défendre contre les pirates informatiques est de connaître leurs astuces. Nous espérons que notre courrier vous a aidé dans cette tâche.