Comment repérer un site de phishing ?

Comment repérer un site de phishing ?

Le terme de phishing — ou hameçonnage — n’est pas nouveau pour qui s’intéresse un peu à la sécurité des systèmes d’information. Dans un billet du blog de GlobalSign, nous évoquions déjà les trésors d’ingéniosité déployés par les hackers pour piéger les utilisateurs, notamment par l’envoi d’e-mails de phishing les incitant à télécharger des contenus malveillants ou à se rendre sur des sites Web infectés. Rien qu’en 2016, les attaques de phishing ont explosé de 400 % — tendance qui devrait continuer à progresser cette année. Aujourd’hui, nous repartons en campagne contre le phishing avec au sommaire un autre mode d’attaque : les sites Web de hameçonnage.

L’envoi d’e-mails malveillants n’est qu’un volet du processus de phishing. Le pirate qui fomente ce type d’attaque crée généralement un faux site pour inciter ses victimes à saisir leurs identifiants de connexion et/ou leurs informations bancaires. But de la manœuvre : piéger les utilisateurs pour pouvoir accéder ultérieurement à leurs données. Au fil des ans, les attaques de hameçonnage ont fait des millions de victimes. Preuve de leur terrible efficacité, cette étrange affaire datant de 2013… Un trio de hackers a été arrêté au Royaume-Uni pour avoir tenté d’extorquer près de 60 millions de livres sterling à des clients trop confiants. Le trio avait à cet effet créé plus de 2 600 faux sites bancaires.

Afin de mieux comprendre cette pratique, nous avons listé les principaux scénarios susceptibles de faire atterrir les internautes sur des sites de phishing.

Comment se retrouve-t-on sur un site de phishing ?

- Scénario 1 : Ouverture d’un e-mail de phishing — la débâcle de Nicolas
Commençons avec un scénario familier. Nicolas peut être fier : il a travaillé dur pendant des années pour préparer sa retraite et a réussi à amasser 1 million de dollars. Quelques mois avant son pot de départ, Nicolas reçoit des e-mails de sa « banque » lui demandant de mettre à jour ses informations bancaires. Il se connecte alors au « site Web de sa banque » et change ses identifiants de connexion. Le lendemain, toutes ses économies se sont envolées, comme cette femme au Royaume-Uni qui a vécu pareille mésaventure en 2012.

- Scénario 2 : Clic sur une publicité suspecte — le dilemme de Marie
Les publicités sont un autre vecteur pour les attaques de phishing. Marie recherche des recettes de pâtisserie faciles sur Internet. Elle tape « recettes faciles de gâteaux » dans Google et sans prêter attention au lien, clique sur une publicité Google intitulée « Recettes faciles de gâteaux aujourd’hui ». L’annonce la renvoie sur une page Web où on lui demande de saisir ses informations de carte bancaire pour recevoir les recettes. Méfiante à la vue de la demande de paiement, Marie quitte rapidement la page Web. Elle a eu chaud : ce type de fausses annonces Google Ads était déjà utilisé en 2014 pour lancer des attaques de phishing.

- Scénario 3 : Reconnaître une fausse page de connexion — le fiasco de Sophie
Les phisheurs ne reculent devant rien pour mettre la main sur les informations des internautes. Prenons le cas de Sophie qui souhaite refaire son passeport. Dans son moteur de recherche, Sophie tape le nom de l’administration responsable de l’émission des passeports et clique sur le premier lien qu’elle voit. Tout lui semble en ordre, notamment sur la page de connexion. Elle saisit donc ses informations de connexion et les informations nécessaires à l’établissement de son passeport. Une fois les renseignements communiqués, elle s’étonne cependant de ne recevoir aucune réponse de la part de l’administration. Le lendemain, elle s’aperçoit que ses comptes ont été piratés, comme de nombreux citoyens de Singapour, victimes d’attaques de phishing sur les pages de connexion usurpées de sites d’agences gouvernementales.

- Scénario 4 : Interactions sur les médias sociaux — les ennuis de Benoît sur Twitter
Benoît avait un problème avec sa banque. Pensant obtenir une réponse plus rapide via Twitter, il fait part de son souci sur le compte Twitter de la banque. En quelques heures, un « conseiller bancaire » lui répond en lui communiquant le lien vers la « page d’assistance de la banque ». Benoît n’a pas cru le « conseiller »… Il savait pertinemment qu’il ne faut jamais faire confiance à des comptes Twitter non vérifiés. Benoît a fait l’expérience de l’une des attaques de phishing les plus courantes sur les réseaux sociaux. Heureusement pour lui, il l’a évitée.

Conseils pour repérer un site de phishing

Tous ces scénarios s’inspirent d’attaques et d’arnaques de phishing bien réelles. Si Nicolas, Marie, Sophie et Benoît sont des personnages de fiction, les menaces qu’ils ont rencontrées existent bel et bien. Voici quelques conseils pour ne pas tomber dans le panneau de ces sites dangereux. On peut diviser nos solutions en deux catégories.

- Avant de cliquer

Avant de cliquer, vérifier et toujours étudier l’URL. Chaque fois que quelqu’un nous envoie un lien par e-mail ou via les réseaux sociaux, ou n’importe quelle plateforme, il est essentiel de prendre le temps d’étudier l’URL avant de cliquer. Pas besoin d’être un expert pour détecter une URL suspecte. Certaines choses doivent nous alerter dans le lien. Les liens factices imitent généralement des sites bien connus en ajoutant bien souvent des mots inutiles et des domaines.

Avant de cliquer sur un lien, il est nécessaire de survoler le texte. Dans l’exemple ci-après, étudié en détail sur le Blog de GlobalSign, on voit que l’URL vers laquelle le texte « cliquez ici » renvoie correspond à http://globalsign.uk.virus-control….. Plusieurs éléments devraient nous mettre la puce à l’oreille : 1) globalsign.uk n’est pas un domaine GlobalSign légitime ; 2) le domaine contient la chaîne supplémentaire « virus-control » ; et 3) la longue chaîne de caractères à la fin de l’URL est inhabituelle.

Identifier la source du lien. Connaissons-nous l’expéditeur du lien ? Si l’on a le moindre doute, ne cliquons pas sur le lien. Dans l’exemple précédent, Benoît a senti que le conseiller était louche et n’a pas cliqué sur le lien factice qui lui avait été envoyé. Les phisheurs génèrent de fausses personnalités, de la plus improbable (une « Autorité bancaire de confiance » très générique) à la plus convaincante (John Smith chez J.P. Morgan Chase & Co). Il est donc essentiel de vérifier les personnes avec qui l’on interagit et s’assurer de leur légitimité.

- Après avoir cliqué

Vérifier et étudier l’URL AVANT de saisir des informations. Supposons que nous ayons accidentellement cliqué sur un lien de phishing. Ne paniquons pas. Du moins, pas tout de suite. Comme indiqué plus haut, il est nécessaire de rechercher dans l’URL de la page Web les signaux d’alerte les plus évidents. Les adresses de sites Web factices affichent beaucoup de caractères superflus dans la barre d’adresse ou des chaînes de texte supplémentaires. Prenons l’exemple ci-dessous tiré de l’arnaque Gmail qui a circulé plus tôt cette année. Malgré la chaîne « accounts.google.com » qui lui confère une apparente légitimité, l’ajout de texte devant l’adresse devrait alerter l’internaute. Et pour cause, il s’agit d’un site de phishing ou d’un site infecté.

(Source : PCMag)