Comprendre et détecter le phishing

Le phishing ou hameçonnage est une technique de social engineering qui consiste à diriger un utilisateur sur un faux site d'apparence légitime pour le forcer à rentrer des données personnelles qui seront, donc, à la fin aux mains des pirates. Dans cette vidéo, on va, donc, s'intéresser en particulier et en détail à cette technique de phishing. Le phishing a pour but de voler l'identifiant personnel d'un utilisateur pour, ensuite, s'en servir, pour, par exemple, perpétrer une usurpation d'identité. Dans tous les cas, le pirate va tenter de se faire passer pour une autorité de confiance. Une banque , une administration, par exemple. Les cibles les plus courantes sont, en effet, en premier lieu les services bancaires, les fournisseur d'accès Internet, les sites de vente en ligne, ainsi que les réseaux sociaux. Il ne faut pas oublier que la récolte d'informations personnelles et quelque chose d'assez juteux pour un pirate qui pourra revendre toutes les données obtenues sur le black market. Le dernier exemple en date est celui du service de Google Agenda. Les utilisateurs ont reçu des demandes de notifications d'événements les encourageant à cliquer sur un lien malveillant. Ces événements avaient été, précédemment, ajoutés par des pirates à leur insu via de faux emails. Étant donné que Google Agenda a été reconnu comme une application connue et fiable, souvent utilisée, beaucoup d'utilisateurs se sont fait berner. Le phishing peut, aussi, consister à simplement rediriger un utilisateur en le faisant cliquer sur un lien dans les mails vers un site malveillant où potentiellement le pirate va faire télécharger sa victime un malware, par exemple. Voici, l'exemple d'un mail de phishing reçu qui, justement, essaie de se faire passer pour la chaîne de magasins Lidl. Et le but, ici, est d'aller cliquer sur ce lien-là pour commencer qui est, en fait, un lien vers un malware. Le phishing est assez courant et en général, il s'agit, plutôt, de campagnes massives avec un envoie à peut-être 10 000 expéditeurs. Mais avec un taux de réussite de 1 % sur 10 000 utilisateurs. C'est quand même 100 utilisateurs qui sont piégés. Parfois, le phishing peut être beaucoup plus ciblé et donc, beaucoup plus dangereux, c'est ce qu'on appelle le spear phishing. Il va se focaliser sur des cibles d'utilisateurs précis en nombre limité où le message, le mail sera le plus personnalisé possible pour augmenter les probabilités de réussite. Dans la démarche, l'attaquant va commencer à rassembler un maximum d'informations sur sa cible ou sur la société ciblée, afin de prendre un contact avec elle en faisant référence à des informations spécifiques et dossiers en cours gérés par la cible, des éléments personnels, des données confidentielles acquises, par exemple, suite un piratage. Et à partir de tous ces éléments, le pirate va construire sa campagne de phishing sans, forcément, d'ailleurs, envoyer d'entrée l'email destiné à tromper l'utilisateur pour essayer de créer une session de confiance. Puis, ensuite, de rendre plausible sa demande avec, cette fois, le mail, réellement, piégé. Un exemple classique de spear phishing contre une société. Après avoir identifié les différents services d'une société et ses employés par, notamment, le damier de son site web. L'attaquant peut récupérer le nom et l'email de la ou des personnes du service ressources humaines qu'il va cibler. Le service ressources humaines reçoit, en principe, de nombreux CV en différents formats et en provenance, très souvent de commencement inconnu. Ils sont habitués à recevoir des mails avec des pièces jointes de la part d'inconnu sans trouver cela suspect et pire, en voyant pour effet que de les ouvrir sans vérification. Il suffit, donc, à notre pirate que ces documents soient piégés, par exemple, un fichier office avec une macro malveillante ou qui contient des liens hypertextes piégés en état de fonction. Il est, donc, essentiel d'éduquer les services critiques les plus exposés comme le sont le service ressources humaines dans mon exemple, mais aussi les services commerciaux et financiers par rapport au spear phishing. Détecter le phishing n'est pas, forcément, évident. Cela dépendra de votre méfiance et votre capacité à reconnaître l'escrocrerie. En tout cas, voici quelques méthodes utilisées par les pirates qui pourraient vous mettre la puce à l'oreille. L'email utilisé, en général, n'appartient pas à un domaine de la société. Attention, on parle, ici, réellement de l'adresse mail pas du champ correspondant au nom de la personne. En général, le lien vers le formulaire à remplir pointe vers une URL dont adresse ne correspond rien à la société ou redirige vers un site dont l'extension n'a rien à voir avec la société. Voici, une redirection vers une adresse en .ru, alors que la société n'est présente qu'en France. La société Orange en l'occurrence. D'autres caractéristiques peuvent indiquer un phishing. Un caractère d'urgence un peu trop marqué, un peu trop prononcé, de nombreuses fautes d'orthographe et des tournures de phrases grammaticalement incorrectes. Et bien sûr, sachez qu'une demande de fourniture d'identifiant par mail est un processus à bannir dans tous les processus de sécurité que devraient adopter les entreprises. Au pire prenez votre téléphone et ne faites pas non plus confiance aux SMS, car c'est devenu un nouveau canal de phishing pour les pirates.