SITES WEB – Sécurité Internet : Hameçonnage

Websites-Phishing-PocoDesejos

Dans la continuité de l’article précédent, nous allons nous intéresser aux délits les plus courants, avec quelques détails techniques, des exemples, des astuces pour l’éviter et que faire après avoir été victime de chacun d’entre eux.

Cette semaine, nous nous concentrons sur le Phishing (Hameçonnage), une technique dont le nom vient d’un petit jeu de mots, avec le mot « fishing », qui signifie « pêcher », et qui, pratiquement, ressemble à une « pêche » aux données, ou aux victimes dans une variété de façons.

Phishing / Hameçonnage :

Le terme phishing, comme mentionné, vient des mots « fishing », ou pêche, auxquels la lettre « f » a été remplacée par les lettres « ph », dans une allusion à une technique apparue au début des années 1900, qui s’appelait le « phone phreaking », une pratique sans traduction directe, mais qui se résume à un groupe de personnes (alias phreaks), qui ont effectué des tests et des expérimentations sur les réseaux de télécommunications, afin de découvrir comment ils fonctionnaient, et quelles en étaient les limites de fonctionnement ( ce qui a souvent conduit à une panne de communication).

Cette technique est née entre les années 1996-1997, avec des vols successifs de comptes AOL (America Online), un portail de télécommunications américain, où des hackers ou des pirates informatiques volaient les mots de passe des utilisateurs afin d’accéder aux comptes de quelqu’un d’autre, pour de différentes fins.

Aujourd’hui, le phishing est l’une des plus grandes menaces pour les internautes et les entreprises, car il n’est plus uniquement associé à une entité spécifique, mais à une pratique mondiale qui affecte des milliers de services et des millions d’utilisateurs.

Types d’hameçonnage :

L’hameçonnage diffère de son fonctionnement en fonction du type d’attaque. Chaque type aura également une portée et une urgence différentes :

  • Hameçonnage par courrier : la méthode la plus courante de toutes. En règle générale, l’utilisateur reçoit un e-mail d’une entité officielle, connue ou même d’un ami ou d’un collaborateur, avec un lien qui mène à des #sites web malveillants et factices, où des données personnelles et/ou bancaires seront demandées. Par la suite, l’utilisateur peut se voir interdire l’accès aux comptes de messagerie, aux services de banque à domicile (accès à la banque, etc.). Plus tard, nous parlerons de certains types d’e-mails, dans les exemples que nous devons présenter ;
  • Site d’hameçonnage : ici, les pirates utilisent des sites falsifiés, qui conduisent les utilisateurs à entrer des coordonnées personnelles ou bancaires, afin de pouvoir utiliser de vrais comptes, ou cloner des cartes bancaires ;
  • Vishing : ces derniers temps, nous assistons, sur le territoire national, à une augmentation exacerbée de ce type d’attaques. Il s’agit d’hameçonnage vocal, c’est-à-dire par téléphone. Le pirate se fait passer pour un technicien d’une entreprise officielle, qu’elle soit bancaire ou technologique, et doit convaincre la victime de renoncer à des données personnelles, bancaires ou à l’accès à son ordinateur ou à son téléphone, non seulement dans le but de voler des identifiants, mais souvent de créer l’idée que notre équipement est compromis, et que nous devons payer une (grosse) somme d’argent, afin de résoudre le problème ;
  • Smishing : ce message de La Poste ou de services de transport, ou notification d’un paiement manquant d’un fournisseur de services électriques, bancaires ou technologiques, c’est du smishing, c’est-à-dire du phishing par SMS, une attaque qui suit le même schéma de ce qui précède, c’est-à-dire garantir l’accès à l’équipement, ou le paiement d’un certain montant, associé à une fausse amende ou à un retard de paiement ;
  • Hameçonnage Social : ce type d’attaque est lié aux attaques via les réseaux sociaux, principalement les services de messagerie tels que Messenger ou WhatsApp. Cela revient à envoyer des messages aux utilisateurs des types les plus divers, des produits extrêmement bon marché aux messages à caractère sexuel, et, lorsque l’utilisateur accède, sans s’en rendre compte, il accède à des #sites web malveillants, ou permet l’installation, cachée, bien sûr, d’applications malveillantes, qui tenteront d’exploiter d’éventuelles pannes de votre équipement.

Au sein de ces attaques, nous pouvons également subdiviser, de manière plus détaillée, chacune d’entre elles (comme le spear hameçonnage- consiste en des attaques directes sur des cibles spécifiques, à savoir des étudiants ou des membres d’une certaine entreprise, université , etc. , clone phishing – falsification de sites Internet et d’e-mails officiels, dont l’adresse d’envoi est étrange, whaling – orienté vers les dirigeants de moyennes/grandes entreprises, etc.), cependant, l’opération est, dans l’ensemble, très similaire entre eux.

De manière générale, l’hameçonnage nécessite toujours l’autorisation ou la validation de l’utilisateur. Que ce soit par e-mail, message, appel téléphonique ou accès et saisie de données personnelles et privées sur de faux #sites web, l’utilisateur est TOUJOURS le plus grand obstacle pour les pirates.

Exemples d’attaques, à la première personne :

« Je travaille avec des ordinateurs depuis que je suis enfant, et je n’ai jamais eu de problèmes, jusqu’en 2017. J’ai reçu un e-mail de ma banque – du moins je le pensais – dans lequel on m’a dit qu’il y avait une mise à jour des normes de sécurité, et je devrais suivre un lien pour me connecter et recréer mes identifiants de connexion.

En y entrant, je suis tombé sur une page, en tout point identique à celle officielle de la banque, et j’ai suivi les étapes qui m’ont été données. En plus de mes codes personnels, on m’a demandé une photocopie de ma carte de coordonnées, que j’ai remise sans aucun soupçon. Ce même jour l’après-midi, je reçois un appel de mon gestionnaire de compte, concernant des retraits et des paiements consécutifs sur mon compte, pour un montant total qui dépasse déjà 12 mille euros.

Tous mes identifiants d’accès ont été supprimés et recréés, et les autorités ont été dûment informées. Par la suite, la banque m’a remboursé les sommes dépensées, à l’exception de quelques sommes plus modestes, qui n’étaient pas couvertes par l’assurance bancaire. J’ai bien appris ma leçon » – D. R. P. entreprise individuelle, victime d’email d’hameçonnage.

 

« A un moment de  désespoir financier, j’ai reçu un message de quelqu’un qui prétendait être mon parent, avec une proposition qui semblait attrayante. Il y avait une somme, d’un autre membre de la famille, détenu dans une banque à l’étranger, à remettre au plus proche parent. Ce membre de la famille qui m’a contacté a dit qu’il s’occuperait de tout, je n’aurais qu’à donner le «visage» et quelques données, et avec cela, je collecterais l’argent, étant le même divisé 45-55%. Stupidement, et en désespoir de cause, j’y ai accédé. A mi-chemin, j’ai découvert qu’il s’agissait d’une fraude, dans laquelle mes données seraient utilisées pour un paiement, via WESTERN UNION, à une certaine boîte postale, dans un pays du tiers monde, et avec mes données, le même paiement serait de ma  responsabilité – c’est-à-dire que l’autre partie recevrait sa part, alors que non seulement je n’en recevrais aucune, mais que je serais également responsable du remboursement de la totalité du montant à WESTERN UNION. Il se trouve que j’ai eu de la chance, mais j’ai quand même été obligé de faire des déclarations par téléphone à la police du pays en question. Plus jamais. » – Opérateur C.M. C.N.C., victime 419 Scam, une forme d’hameçonnage créée par des étudiants nigériens lors de la crise pétrolière des années 1980, qui visait à obtenir des fonds pour des opérations illégales. Ce genre de activités sont actuellement menées par d’authentiques groupes criminels, normalement associés à des crimes violents.

 

Ces deux exemples sont parmi les plus courants, cependant, sur le territoire européen, nous avons été touchés par une énorme vague de vishing, c’est-à-dire de hameçonnage par téléphone. Ci-dessous, un exemple à la première personne d’une attaque récente contre un retraité portugais avec peu de connaissances en informatique.

« J’ai reçu un appel d’un individu qui a commencé par me demander si je parlais anglais, et qui s’est présenté comme support technique Microsoft, et que plusieurs signes d’activité illégale ont été détectés, celles-ci se faisant depuis mon ordinateur et mon téléphone. Il m’a demandé d’installer une application, afin qu’il puisse non seulement afficher les erreurs en question, mais aussi accéder à mon ordinateur pour résoudre la situation. Je l’ai fait et j’ai suivi les instructions qui m’ont été données. Dès que j’ai partagé la clé d’accès et que l’opérateur a accédé à mon ordinateur, j’étais immédiatement sans image. L’opérateur a déclaré qu’il s’agissait d’un signe évident de piratage informatique, mais que cela se résoudrait rapidement.

L’image est revenue quelques minutes plus tard et l’opérateur m’a demandé d’ouvrir le programme que je voulais. Alors je l’ai fait, et je n’ai pu entrer dans aucuns programmes, toujours avec l’avertissement qu’elle n’avait pas été trouvée… L’opérateur m’a alors proposé une solution : j’ai payé 1500 euros, et il a réglé la situation en quelques minutes. J’ai accepté, effectué le paiement, par carte bancaire, et en quelques minutes, tout était réglé, ou du moins normal.

Quelques jours plus tard, j’ai eu à nouveau des problèmes de fonctionnement de l’ordinateur, et j’ai été  contacté par un nouvel opérateur. Mon petit-fils, qui était à proximité, m’a dit de raccrocher, car c’était une fraude. D’après ce qu’il m’a dit, ils appellent un numéro au hasard, et dès que nous avons décroché, ils ont essayé de nous convaincre de lui donner accès à notre ordinateur. Ensuite, ils ont éteint notre moniteur et modifié certains dossiers ou fichiers à cet emplacement, afin que nos programmes ne fonctionnent pas. Ensuite, ils ont rallumé notre moniteur et nous ont demandé d’ouvrir un programme, ce qui donnerait une erreur. Lorsque nous effectuions le paiement de la somme en question, ils éteignaient le moniteur, encore une fois, mettaient les fichiers en place, et gagnaient ainsi de grosses sommes, avec une arnaque.

Comme je m’étais fait avoir une fois, mon petit-fils a choisi de formater l’ordinateur pour moi, et je n’ai plus jamais eu de problèmes. Quand quelque chose d’étrange se produit, je demande à mon petit-fils ou à quelqu’un d’autre de m’aider. Je me suis retrouvé sans 1500 euros, mais avec une bonne leçon.” – R. M L, retraité, victime de vishing.

Ce dernier cas est devenu assez courant, du moins sur le sol européen, car avec la pandémie, le nombre d’attaques par téléphone augmente, principalement en raison du télétravail et par la peur des utilisateurs, principalement en ce qui concerne le matériel informatique professionnel.

Que faire si vous êtes victime de ce type de délit ?

La première chose à faire, lorsque l’on soupçonne qu’il y a eu ou non un oubli, est d’alerter les autorités et les entités concernées. Dans le cas d’un opérateur de service associé, ils essaieront de réaliser des audits internes, et de recréer le profil de l’utilisateur, avec une « feuille blanche », afin que des frais de service supplémentaires ne soient pas appliqués, en recréant tous les accès. Dans le cas des coordonnées bancaires, lors de l’alerte de votre banque, celle-ci annulera tout accès à votre compte, ainsi qu’aux cartes qui ont été fournies entre-temps. De nouvelles données d’accès et de nouvelles cartes seront recréées, et une analyse de la situation sera effectuée, en vue de trouver une solution permettant de restituer, sinon la totalité, du moins une grande partie de la somme éventuellement été détourné. L’utilisateur doit également changer tous les mots-clés de ses services et sites, et opter pour des mots de passes plus complexes avec des chiffres, des lettres majuscules et minuscules et des symboles dans le mélange. Vous pouvez et vous devez les enregistrer, de préférence dans un endroit en dehors de votre ordinateur, dans un bloc ou quelques chose dans le genre, et vous ne devez pas les enregistrer dans votre navigateur, pour éviter d’éventuels risques de sécurité. Un outil qui peut être utile pour vérifier d’éventuelles fuites est le site web Have I Been Pwned, un projet créé par Troy Hunt, spécialiste de la sécurité en ligne, qui analyse vos mots clés et vos emails, les compare à une base de données d’informations tirées d’attaques, à la recherche d’éventuels risques de sécurité. Dans le cas où votre e-mail ou votre mot de passe est affecté, ce que vous devrez faire est de le changer pour un mot de passe plus résistant. Vous devez éviter de répéter les mots de passe.

 

Comment éviter de tomber dans ce type d’attaques ?

La plupart des attaques de phishing sont faciles à éviter. Par conséquent, l’utilisateur doit :

  • Évitez les e-mails commençant par : « Urgent », « Offre avantageuse », « Alerte », « Éviter amende », « Procédure ouverte à (votre nom ici) », « Réclamez votre récompense », « Gagné un lot ». Généralement, ces types d’e-mails servent à éveiller l’intérêt et la curiosité. Même si son ouverture ne leur fait pas de mal, vous ne devez en aucun cas envoyer des données, ouvrir des pièces jointes ou suivre des liens qui viennent dans cet e-mail ;
  • Analyser le texte de l’e-mail. Généralement, les e-mails de d’hameçonnage sont mal rédigés, avec des erreurs de grammaire ou de syntaxe. C’est l’un des premiers signes d’alerte ;
  • Adresse d’expéditeur étrange, avec des erreurs ou, dans le cas d’une entité officielle, avec un serveur de messagerie public, tel que Gmail ou Hotmail. Normalement, ce type d’e-mails, lorsqu’ils proviennent d’entités officielles, utilisent des serveurs de messagerie en leur propre nom, ou des serveurs privés et non publics ;
  • Ces e-mails exigent une action immédiate. Ceci aussi est un signe d’avertissement ;
  • En cas de doute, vous pouvez toujours contacter l’expéditeur, par les voies officielles ou par d’autres moyens, afin de vous assurer qu’il s’agit d’un e-mail valide.

En ce qui concerne les entreprises, ces types d’attaques font également des dégâts. Il y a même une attaque ayant pour but d’affecter des membres d’entreprises ou de groupes économiques, appelée » whaling » (jeu de mot sur baleine, dont le mot est « baleine »), qui fonctionne de la même manière que les autres, mais visant des entrepreneurs ou des PDG. De telles attaques peuvent conduire, par exemple, à une rupture des communications entre les différentes branches de l’entreprise, car l’un des éléments de gestion n’a pas accès à ses comptes internes.

Quelques chiffres à retenir :

Selon la société de sécurité américaine SANS, 95% des attaques contre les entreprises sont le résultat d’un spear-phishing ( spear- hameçonnage)réussi. Selon les données 2018 de la société Verizon, 30% des emails d’hameçonnage sont ouverts par le public ciblé et 12% de ce public cliquent sur les liens associés.

De 2017 à 2022, il y a eu une augmentation de 14 % des attaques d’hameçonnage (de 72 à 86 %) uniquement pour les marchés anglais, et dans le reste du monde, les chiffres suivent cette croissance.

Rien qu’en 2019, aux États-Unis, les entreprises et les particuliers touchés par ce type d’attaques se sont retrouvés avec une perte totale d’environ 3,5 milliards de dollars et, en plus des e-mails, les réseaux sociaux ont également commencé à avoir une charge accrue par ce genre de situation (176% de plus uniquement sur Facebook).

Dans l’ensemble, 83 % de toutes les attaques commerciales dans le monde ont commencé par une petite attaque d’hameçonnage, généralement via une campagne d’e-mails contenant des liens malveillants.

Environ 32 à 47 % des entreprises mondiales ont été la cible d’attaques d’hameçonnage généralisées (ceci dans un scénario pré-pandémique).

Au cours de la dernière année, environ 69 % des entreprises ont été la cible d’attaques d’hameçonnage et environ 12 à 15 % ont été fructueuses.

Ces valeurs sont un peu générales, et ont quelques limites, cependant, au sens figuré, elles montrent à quel point il est dangereux, de ne pas prendre les précautions nécessaires, dans une situation comme celle-ci.

Comment protéger votre entreprise et les internautes qui la visitent ?

Chez #UNNE Design, nous sommes fiers de notre attention à la sécurité de nos clients. Nos sites sont configurés avec des outils de surveillance actifs, en cas de scripts malveillants (extraits de code), et, en cas d’enregistrement de données personnelles, tous nos #sites web ont la capacité de doubler la vérification de sécurité, ou l’authentification à deux facteurs, qui permet à l’utilisateur disposer de deux moyens d’authentification des données, rendant impossible toute entrée forcée sur son compte.

De même, toutes les communications entre le client et notre société sont effectuées par des canaux officiels, sans modifications et dûment identifiées, et toute correspondance est préalablement analysée pour la possibilité d’une éventuelle violation de la sécurité.

Contactez-nous. Chez #UNNE Design, nous nous soucions de vous et de votre entreprise.

 UNNE Design | Create Curiosity

#websitescavecqualite seulement avec #UNNEdesign

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.
Vous devez accepter les conditions pour continuer

2 + 11 =

Menu