|
|
Derrière les Attaques de Phishing
Résumé
Les transactions en ligne sont de plus en plus nombreuses. Aujourd’hui, les clients utilisent
régulièrement Internet pour leurs achats, leurs transactions bancaires en ligne ou même leurs
déclarations fiscales et d’autres opérations administratives. Une part importante du commerce
de détail s’effectue maintenant par le biais de boutiques Web, et les entreprises ont donc intégré
ce canal de distribution.
Cela a également eu pour effet d’accroître la délinquance en ligne. Dans ce livre blanc, nous allons
parler du « phishing », une pratique qui consiste à envoyer des e-mails frauduleux à des clients,
en tentant de leur faire divulguer des informations qui pourront être ensuite utilisées pour accéder
à des données sensibles ou dérober des fonds ou des biens en ligne. Ce système est basé sur un
artifice vieux comme le monde consistant à se faire passer pour une autorité de manière à accéder à
une propriété.
Le coût pour votre entreprise et vos clients peut être élevé :
• Risque de pertes financières pour vos clients
• Risque d’accès non autorisé à des informations sensibles
• Perte de confiance de vos clients
• Arrêt des ventes conduisant à des pertes de revenus
• Risque d’actions juridiques de la part de clients pénalisés
Nous décrivons dans ce document le phishing, ainsi que la façon de le combattre et d’en réduire les
risques pour vos clients et votre entreprise.
Qu’est-ce que le Phishing?
Le phishing est un processus au cours duquel les clients d’une entreprise en ligne sont conduits
abusivement à donner leurs informations d’accès à des criminels. Un e-mail est envoyé au client pour
lui demander de cliquer sur un lien et de saisir toutes ses informations sur la page Web qui s’affiche.
Ces informations sont ensuite utilisées pour accéder au compte de la victime et détourner des fonds
ou réaliser des achats.
Le phishing repose uniquement sur des techniques de manipulation sociale et n’exploite pas de
vulnérabilités système. Du point de vue de l’auteur du phishing, le risque est faible et les gains
potentiels très élevés. Il est possible d’automatiser l’attaque et d’effectuer tout le processus en ligne.
Phishing par E-mail
Le processus d’une attaque de phishing courante est le suivant :
Étape 1 – Création d’une liste d’adresses e-mail
Il pourra s’agir d’une liste d’adresses authentiques ou d’une liste d’adresses générées de manière
aléatoire avec des domaines d’e-mails courants tels que yahoo.com ou hotmail.
Étape 2 – Création de l’e-mail
Un modèle d’e-mail revêtant généralement la marque d’une institution financière reconnue et
demandant de confirmer des informations d’accès en cliquant sur un lien est créé. Le lien semble
authentique mais l’URL conduit en fait à un site frauduleux créé par les criminels.
Étape 3 – Création du site Web de collecte des données
Un site Web contenant un formulaire de collecte des « données personnelles » est créé. Il peut s’agir,
par exemple, de mots de passe ou de réponses à des questions de sécurité telles que des numéros
de comptes ou des identifiants. Pour plus de crédibilité, des liens vers le site réel sont présents (par
exemple, un lien « Mot de passe oublié ? »). Les références à l’entreprise sur le site frauduleux peuvent
faire appel à des images du site réel. L’adresse du site Web est souvent une simple adresse IP, mais de
plus en plus de pirates utilisent des domaines apparentés pour donner de la crédibilité à l’URL dont ils
se servent dans l’e-mail. Les domaines apparentés sont des domaines enregistrés par le pirate, qui ont la même consonance
ou contiennent les mêmes mots que le domaine réel.
Étape 4 – Envoi des e-mails – spam
L’e-mail est envoyé aux listes de distribution. Des logiciels existent pour l’envoi d’e-mails en masse
– ceux-ci peuvent même être distribués par des ordinateurs infectés sur Internet. Le pirate doit aussi
faire en sorte que l’e-mail donne l’impression de provenir de l’institution financière en question. Il «
usurpera » pour cela une adresse e-mail authentique. Ce type d’opération s’effectue très simplement
avec n’importe quel client de messagerie de base.
Étape 5 – Collecte des données
Cette opération a lieu sur le site Web de phishing – sur lequel pointe le lien présent dans l’e-mail.
Le formulaire de cette page demande à la victime d’entrer toutes les informations lui permettant
de se connecter à son compte, ainsi que les réponses aux questions de sécurité le concernant. Une
fois saisies, ces informations sont enregistrées dans une base de données ou un fichier et peuvent être
exploitées par le pirate.
Étape 6 – Le vol
Le pirate dispose maintenant des informations lui permettant d’attaquer les comptes du client.
Une tierce personne faisant office d’écran peut être utilisée pour collecter des fonds sur un compte
local et les transférer au pirate. La mule recevra généralement pour cela une forme de commission.
Le client ne saura rien de l’attaque jusqu’à ce qu’il remarque des absences de fonds ou d’étranges
transactions. Il est même possible que le compte soit bloqué et son propriétaire interdit bancaire.
Phishing VoIP
Voici le processus d’une attaque de phishing VoIP, également appelé « Vishing ». Le vishing utilise la
technologie Voice over IP pour collecter les informations d’accès de la victime.
Étape 1 Une liste d’e-mails est constituée, comme pour le phishing par e-mail.
Étape 2 Un e-mail est créé, dans lequel le lien sur l’URL est remplacé par un numéro de téléphone.
Étape 3 Un « centre d’appels » est mis en place à l’aide d’un logiciel de PABX et d’un numéro
de téléphone VoIP. Le logiciel de PABX permet de créer une boîte vocale imitant le centre d’appels réel,
avec son système traditionnel de menus numérotés. Les voix peuvent même avoir été enregistrées en
contactant le centre d’appels réel.
Étape 4 Un e-mail est envoyé, comme dans le phishing par e-mail.
Étape 5 La collecte des données s’effectue à l’aide du PABX virtuel auquel le client se connecte. Un
message demande à la victime d’entrer ses informations client, qui sont collectées ou enregistrées par
le logiciel de PABX. Le pirate dispose alors des informations dont il a besoin pour escroquer sa victime.
Étape 6 Le vol peut avoir lieu de la même façon que dans le processus de phishing par e-mail.
Une attaque de vishing peut même court-circuiter tout le processus d’e-mails et appeler directement le
client. Des numéros d’appel peuvent être usurpés pour que l’appel semble valide
au cas où le numéro serait vérifié par l’équipement téléphonique du client.
Étude de Cas – Une Attaque de Phishing
Verizon Business possède une grande expérience dans la lutte contre les attaques de phishing.
Un de nos clients, une institution financière que nous appellerons la Banque, a été récemment victime
d’une attaque. Voici les grandes lignes de cette attaque, ainsi que la réaction qu’elle
a engendrée.
Détection
Au quatrième trimestre 2006, la Banque a été informée de l’existence d’une attaque de phishing
lorsqu’une copie d’un e-mail a été envoyée à son équipe de sécurité.
Les consultants sécurité de Verizon Business ont fourni conseil et assistance pour la détection
immédiate et la neutralisation de cette attaque ainsi que la prévention de nouvelles attaques.
L’origine de l’e-mail n’a pas pu être déterminée, car il avait été réacheminé plusieurs fois. On a toutefois noté que le nom de la Banque était mal orthographié à plusieurs endroits. Le lien dans l’e-mail ne
conduisait pas là où il disait conduire, et l’URL correspondait en fait à un site situé en Allemagne.
Ce site présentait un formulaire Web dans lequel il était demandé à l’utilisateur de saisir ses
informations de sécurité. Un message de réussite s’affichait, puis l’utilisateur était acheminé vers
la véritable page de connexion. Le site Web frauduleux a été analysé et s’est avéré utiliser un lien http
vers le site réel pour imiter l’aspect de ce site.
Lutte Contre le Phishing
Verizon Business emploie plusieurs techniques spécifiques pour lutter contre le phishing.
Rien ne remplace toutefois l’éducation des utilisateurs pour les empêcher de devenir la victime d’une
ingénierie sociale. Les techniques suivantes peuvent être employées pour réduire le
nombre d’attaques de phishing ou le risque qu’elles représentent. Verizon Business peut mettre ces
techniques à la disposition d’un client ou l’aider à les utiliser.
Détection des Domaines Apparentés
Pour conduire des victimes à penser qu’elles ont affaire au site Web réel mybank.com,
les pirates peuvent créer des domaines apparentés tels que mybank.org, confirmmybank.com
ou wwwmybank.com.
Verizon Business propose un service qui surveille les nouveaux enregistrements de noms de domaines
et balaye les noms de domaines déjà enregistrés afin de trouver ceux qui pourraient servir à une telle
fraude. Il est aussi envisageable d’enregistrer les noms de domaines apparentés les plus évidents de
manière à empêcher leur utilisation par des criminels.
Détection et Analyse des Attaques
Verizon Business a la possibilité de surveiller Internet pour détecter les attaques. Évidemment,
plus une attaque est détectée tôt, plus la riposte pourra être rapide. À l’heure actuelle, des détections
rapides sont possibles grâce à la surveillance du spam, des principaux services de messagerie, des
serveurs DNS, des annonces électroniques, des espaces de discussion et
des blogs, ainsi que par la consultation des journaux des serveurs Web et des parefeux pour
y rechercher certains types de référence à des URL.
Neutralisation du Site
Verizon Business a la capacité de neutralisation le site frauduleux ou d’empêcher qu’on y accède.
Cette technique est limitée par le fait qu’elle n’est utilisable qu’une fois l’attaque de phishing perpétrée.
Son efficacité et la rapidité avec laquelle elle peut être mise en oeuvre dépendent de l’hébergeur
du site. Il est également possible d’altérer les objets liés utilisés dans la page Web de phishing. Par
exemple, un logo de société apparaissant sur la page Web de phishing peut être en réalité un objet lié
du site réel. On pourra alors remplacer l’image d’origine par un message alertant l’utilisateur.
Analyse des Escroqueries et Services D’investigation
Verizon Business tentera de déterminer la source et le mode de l’attaque. L’examen des en-têtes
de messages et des sites Web utilisés dans une attaque de phishing peut fournir beaucoup
d’informations. Les enregistrements de noms de domaines peuvent donner des indices sur le pirate,
mais ces informations sont généralement fausses. Il est possible d’analyser les adresses IP et de
connaître le fournisseur d’accès et l’emplacement géographique du site Web. Le fournisseur d’accès
peut alors apporter son aide pour des investigations supplémentaires. Il est important de retrouver
les individus à la source des attaques, et tout renseignement peut être utile pour aider les enquêteurs
dans cette tâche. Les rapports d’activités Web et les recueils d’information extraits des parefeux du
site réel peuvent être utilisés pour identifier les victimes potentielles. Lorsque les criminels utilisent
des logos ou d’autres liens vers le site réel dans leur site Web de phishing, les journaux de références
peuvent révéler l’adresse IP des victimes et permettre de les retrouver et de les prévenir.
Barres D’outils Grand Public et Filtrage Web
Les barres d’outils antiphishing telles que celles de FireFox v.2 et d’Internet Explorer 7 surveillent toutes
les URL visitées par un utilisateur et les comparent à une liste connue de sites frauduleux. Ce service
exige des utilisateurs qu’ils envoient ces URL à un site central au moyen de la barre d’outils. Une
telle solution est valable, mais elle n’éliminera jamais la menace, car elle suppose que tout le monde
dispose de la barre d’outils. Elle suppose aussi que les utilisateurs sachent qu’ils sont en train de visiter
un site Web frauduleux.
Authentification et Filtrage des E-mails
Le meilleur moyen d’éviter l’usurpation des e-mails consiste à utiliser S/MIME. Ce protocole garantit
l’intégrité du contenu d’un e-mail et l’identité de son auteur au moyen d’une signature numérique. Les
logiciels clients de messagerie les plus courants sont capables de contrôler automatiquement ces
signatures grâce à des autorités de certification publiques.
Il est possible d’utiliser un portail de messagerie sécurisé, c’est-à-dire un système de messagerie
Web intégré dans le portail normal des clients. L’entreprise peut alors faire savoir à ses clients qu’ils
ne recevront jamais d’e-mails de sa part dans leurs boîtes personnelles, à l’exception, peut-être, d’un
e-mail les avertissant de la présence d’un nouveau message sur le portail sécurisé. Verizon Business
propose également des solutions de pointe d’antispam et de filtrage des e-mails.
Authentification Forte Matérielle ou Logicielle
L’authentification temporaire ou de type question-réponse fournit des codes ne pouvant être saisis que
par un utilisateur en possession d’une clef d’identification (token). De telles informations d’accès ne
peuvent donc pas être enregistrées et réutilisées pour mener une attaque de phishing.
Le seul type d’attaque qui pourrait alors avoir lieu serait une attaque interne dans laquelle les
informations saisies par la victime sont immédiatement utilisées par le pirate sur le site réel.
Ce type d’attaque est rare, mais uniquement à cause de la rareté de telles méthodes d’authentification
dans les services grand public en ligne.
Authentification Mutuelle
Les services en ligne se basent la plupart du temps sur l’authentification du client. L’authentification
mutuelle consiste à authentifier le site Web aussi bien que le client. Un site Web peut prouver qu’il
est le site réel et non un site de phishing en utilisant le protocole https. La vérification de son identité
s’effectue alors à l’aide d’un certificat numérique. Il s’agit toutefois d’un processus passif,
et si le protocole https n’est pas employé, aucune erreur ne sera détectée. La différence entre
https et http ne peut être reconnue que par un utilisateur averti.
Il est possible d’afficher des images ou d’utiliser des informations connues seulement du client.
Il peut s’agir d’une réponse à une question posée par le client dont seul le site réel connaîtrait
la réponse.
Mais là encore, il convient d’être prudent, car une attaque interne telle qu’évoquée plus haut pourrait
rendre ce mécanisme inefficace. Certaines attaques de phishing collectent aussi
ce type d’informations.
Étude de Cas – Réaction et Prévention
Analyse de L’attaque
Une analyse du site Web frauduleux a permis d’obtenir plusieurs informations clés :
• ‘Les rapports d’activité http des « références » ont montré que des images du site réel étaient
téléchargées par un client visitant le site de phishing.
• L’image référencée a été modifiée par VBSS pour avertir les utilisateurs qu’ils sont en train
de visiter un site frauduleux. Le site réel a été modifié pour utiliser des copies renommées
des images d’origine afin de conserver son apparence.
• Les pirates avaient copié les liens d’images du site réel, avec l’identifiant de session présent
dans l’URL. Celui-ci identifie chaque nouvelle session sur les serveurs.
Réaction
Pour empêcher rapidement toute utilisation frauduleuse des informations client, les actions suivantes
ont été entreprises :
• Les images liées ont été modifiées afin que des avertissements apparaissent sur le site Web
de phishing. Cette opération particulièrement simple a été mise en oeuvre très rapidement.
• Les connexions contenant le site Web frauduleux dans l’en-tête de référence ont été filtrées.
• Les victimes potentielles ont été identifiées grâce à l’examen des rapports d’activité du site Web.
Prévention des Attaques Futures
Une clé de session codée a été trouvée dans les liens du site Web de phishing. L’examen des journaux
pour retrouver la première utilisation de ce qui avait dû être une clé de session unique a permis
d’obtenir l’adresse IP d’origine du site Web de phishing. On peut raisonnablement penser que ces ID
de session avaient été créés au moment du développement du site Web de phishing. L’adresse IP du
site de phishing a permis de remonter à un fournisseur d’accès et un lieu géographique. 125 clients se
sont avérés avoir accédé au site frauduleux, et 17 avaient pu y entrer des informations.
Conclusion
Vous ne pouvez pas permettre que vos clients ou votre activité courent un tel risque. Les attaques
de phishing sont de plus en plus répandues et de mieux en mieux organisées. La menace des
auteurs de phishing est réelle, leurs activités sont organisées et les outils qu’ils emploient sont
souvent évolués. Si les enjeux et les retours potentiels deviennent plus importants, il est probable
que les techniques de phishing continueront à évoluer et que le nombre d’attaques de phishing
augmentera dans un avenir proche. En choisissant Verizon Business comme partenaire de sécurité,
vous choisissez un allié doté d’une expérience et d’un savoir-faire – lutter contre les attaques de
phishing actuelles et les méthodes qu’elles emploieront demain, et les empêcher de nuire. Pour
connaître la disponibilité de nos services dans des pays spécifiques, consultez votre ingénieur
commercial
Posté le 15 octobre 2007 par _SebF
- source Verizon
Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité
|
|