L’informatique facile !

Chivers

Le phishing. Attention aux arnaques !

L’arnaque la plus utilisée sur internet est sans doute le phishing, ou l’hameçonnage. Cette technique consiste à vous tromper pour vous amener à divulguer des informations sensibles. Elle utilise différents canaux, tels que le mail, le SMS voire même l’appel téléphonique. Comprendre cette technique vous permettra de mieux la repérer et, bien sûr, de ne pas tomber dans le piège. Elle est beaucoup utilisée car très facile à mettre en œuvre et ne demande que très peu de compétences. Nous verrons quelques astuces afin de les repérer et éviter de tomber dans le panneau. Mais avant ça, un peu de théorie.

C’est quoi le phishing ?

Le phishing est une technique de piratage de la famille du « Social Engineering » (ou Ingénierie Social). L’ingénierie Social c’est l’art d’utiliser un biais humain et psychologique afin de forcer une tierce personne à effectuer une action non voulue. Ce n’est pas forcément une pratique illégale mais la frontière peut être fine. Ces techniques sont souvent utilisées dans le marketing. C’est, par exemple ce qui est mis en œuvre par les entreprises de démarchage téléphonique ou les vendeurs, pour vous faire acheter un produit ou un abonnement que vous ne vouliez pas à la base.

Dans le cas du phishing, le pirate va mettre en œuvre différentes techniques pour vous soutirer des informations sans que vous vous en doutiez ou que vous vous en rendiez compte. La plupart du temps le phishing se présentera sous forme d’un mail avec un lien cliquable vous redirigeant vers un site internet contrôlé par le pirate. Mais il peut aussi être sous forme d’un SMS, d’un post sur un réseau social, d’une réponse sur un forum ou même via courrier postal (oui oui, c’est déjà arrivé !).

Comment ils fonts ?

La première étape est toujours la prise de contact. Comme on l’a vu précédemment, il faudra au pirate un moyen de vous contacter, une adresse mail, un numéro de téléphone, un nom d’utilisateur sur un réseau social. Il y a beaucoup de moyens de récupérer ce genre d’information (par exemple en les achetant ou en utilisant de l’OSINT) mais on s’écarte un peu du sujet de cet article.

L’étape suivante va être de choisir une entité légitime que le pirate va copier pour avoir le plus de chance possible que vous cliquiez sur le lien. En France ils adorent utiliser les services du gouvernement, comme les impôts, les banques, les grosses entreprises. Ces dernières années ils utilisent aussi beaucoup les services de livraison tels que Chronoposte, DHL, DPD. Ils vont créer une copie du site officiel de cette entité et la publier sur internet.

Ensuite, les pirates vont vous envoyer un mail, en copiant le plus possible un mail légitime de l’entité, en y insérant un lien cliquable. Ce lien ne va pas vous rediriger vers le site officiel mais bien vers le site contrôlé par le pirate. À partir de là, tout ce que vous pourriez faire sur le site sera récupéré par le pirate.

Pour mettre toutes leurs chances de leur côté, les pirates vont utiliser la technique du « typosquating » (attendez, ne partez pas. Ce n’est pas si compliqué !). Le typosquating, c’est le fait de prendre le nom de domaine de l’entité (par exemple amazon.com) et de changer un petit détail pour que le lien du site pirate ressemble le plus possible au nom d’origine. Avec cette technique, il est encore plus difficile de savoir si l’on est sur le bon site ou non.

Exemple :

  • www.amazon.com (site officiel) devient www.amaz0n.com ou www.amazon.net
  • www.google.com (site officiel) devient www.goog1e.com ou www.google.pirate.com
  • www.impots.gouv.fr (site officiel) devient impots-gouv.fr ou impots.gouf.fr

Pour plus d’exemples, vous pouvez consulter ce site : Red Flag Domains, qui référence les noms de domaines déposés par des pirates en utilisant le « typosquating ». (En plus c’est à l’initiative d’un chercheur français, Cocorico !)

Exemple de phishing :

Prenons comme exemple, un phishing fait avec votre banque. Le pirate va d’abord copier la page de login de votre banque et créer un site web avec cette page qu’il va publier (en utilisant le typosquating) et sécuriser. Il va ensuite écrire un mail ressemblant le plus possible à un mail de votre banque, insérer un lien vers sa propre page de login, et vous l’envoyer (à vous et à des milliers de personnes). À partir de là, il n’a plus grand-chose à faire. Si vous cliquez sur le lien vous vous retrouver sur son site, en entrant votre identifiant et votre mot de passe, ces informations seront directement envoyées au pirate et il pourra les réutiliser sur le vrai site de votre banque. Souvent, après avoir saisi vos données, vous serez redirigé vers le vrai site de votre banque où vous vous direz que vous vous êtes trompé dans votre mot de passe, sans douter de la supercherie. Et hop ni vu ni connu !

À savoir, que des fois, vous ne serez pas redirigé vers une copie du site mais c’est le lien lui-même qui va envoyer vos informations au pirate (par exemple, les mots de passe enregistrer sur votre navigateur, cookies, ou donnée de navigation).

Comment s’en prémunir ?

Il existe des astuces très facile pour ne pas se faire avoir. Ma préférée, bien qu’un poil parano 😅, est de ne jamais cliquer sur un lien présent dans un mail ou un SMS. Je conçois que ce n’est pas toujours possible, donc voyons un peu comment faire.

Exemple d’expéditeur dangereux

Le premier réflexe que vous devez avoir, est de vérifier l’expéditeur du message. Le connaissez-vous ? Est-ce une entité connue ? Avez-vous déjà communiqué avec lui ? Vérifiez son nom et son adresse mail. Est-ce que le « typosquating » est utilisé ?

Si le premier filtre est passé, lisez bien le mail. Est-ce que la tournure des phrases est la même que dans les échanges précédents ? Y a-t-il des fautes ?

Ensuite, vérifiez le lien. Pour cela passer votre souris sur le lien (sans cliquer dessus, bien sûr) et analysez l’URL vers laquelle pointe ce lien. Est-ce le site légitime de l’entité ? Est-ce que le « typosquating » est utilisé ?

Exemple de lien de phishing

Si vous n’êtes pas sûr de vous, ne cliquez pas ! Vous pouvez copier ce lien et le passer dans un outil tel que : UrlScan ou VirusTotal. Vous aurez un aperçu de la page vers laquelle vous serez redirigé.

Si vous avez cliqué et vous retrouvez sur un site internet. Vérifiez l’URL du site internet. Le site ressemble-t-il au site que vous consultez habituellement ? Si vous avez le moindre doute, n’effectuez aucune action et quittez le site. À savoir que le fait que site soit sécurisé (utilisation du https) n’est en rien un facteur de fiabilité du site. De nos jours, il est très facile de sécuriser un site internet.

La meilleure technique que je puisse vous donner est celle de naviguer vous-même vers le site en question sans passer par le lien. Par exemple si vous recevez un mail des impôts, au lieu de cliquer sur le lien, allez sur google (ou tout autre moteur de recherche, exemple DuckDuckGo), recherchez le site des impôts et accédez au site officiel du gouvernement, vous serez sûr d’être au bon endroit.

Petite info concernant les banques. La plupart des banques ne mettront jamais de lien dans leurs mails et ne vous demanderont jamais des informations via un canal du genre. Privilégiez l’application ou le site officiel.

Et si je suis ciblé ?

Si vous êtes ciblé par un phishing, il est très important de mettre en œuvre les points précédents. Une fois que vous avez identifié un mail comme étant du phishing, il faut le plus souvent possible, le signaler. Pour cela je vous renvoie vers le site Cybermalveillance du gouvernement où vous trouverez toutes les ressources nécessaires.

Pour les SMS, c’est le 33700 qui s’en occupe. Vous pouvez, soit transférez le SMS au 33700, soit via la plateforme en ligne 33700.fr

Et voilà ! Vous avez tout ce qu’il faut pour ne plus vous faire avoir et naviguer plus sereinement dans votre boîte mail.

Chivers

Recherche

Articles populaires

  • Le phishing. Attention aux arnaques !
    Le phishing. Attention aux arnaques !

    L’arnaque la plus utilisée sur internet est sans doute le phishing, ou l’hameçonnage. Cette technique consiste à vous tromper pour vous amener à divulguer des informations sensibles. Elle utilise différents canaux, tels que le mail, le SMS voire même l’appel téléphonique. Comprendre cette technique vous permettra de mieux la repérer et, bien sûr, de ne…

  • Comment bien choisir son ordinateur portable ?
    Comment bien choisir son ordinateur portable ?

    Tu veux t’acheter un nouvel ordinateur portable et tu ne sais pas comment faire. Tu à l’impression que le vendeur veut t’arnaquer ? Tu te dis que plus tu achetera ton ordinateur cher mieux il sera ? Et bien je pense que tu es au bon endroit. Dans cet article je vais essayer de te…

  • Pourquoi utiliser un gestionnaire de mot de passe ?
    Pourquoi utiliser un gestionnaire de mot de passe ?

    Vous connaissez ce sentiment, quand vous arriver sur un site, qu’il vous demande votre mot de passe et que vous n’ayez aucune idée de celui-ci ? Alors vous essayez tous les mots de passe que vous avez l’habitude d’utiliser (en passant, cela est une très mauvaise pratique, on y revient un peu plus bas) et…

Catégories

Archives

Tags