Page d'accueil Navigation Sommaire Contacts Sitemap
Le phishing ou hameçonnage se définit comme le vol d'informations sensibles telles que les données d'identification des internautes. Le terme anglais phishing est un mot-valise composé de « password » et de « fishing » et signifie donc littéralement « pêche aux mots de passe ».

 

Pour se protéger contre le hameçonnage ou phishing, ...
aide-mémoire : «Phishing» Information et prévention
  • ne jamais utiliser un lien reçu par email ou obtenu après avoir
    scanné un code QR pour se connecter à un service de banque en ligne.
  • ne jamais remplir de formulaires envoyés par courriel dans lequel on demande d'indiquer ses données d'identification.
  • ne jamais révéler d'informations confidentielles, comme par exemple les mots de passe, par téléphone.
  • toujours taper manuellement l'adresse de la page de connexion de l'institut financier.
  • vérifier la connexion SSL.
  • toujours s’adresser directement à son institut financier en cas de doute.

 

Test sur le hameçonnage

 

Le hameçonnage permet aux hackers de se procurer des mots de passe de manière illégale pour accéder aux données confidentielles d'internautes sans méfiance. Il peut s'agir par exemple des données d'accès à votre compte d'e-banking ou des informations concernant vos comptes sur des boutiques en ligne. Les malfaiteurs tirent partie de la crédulité de leurs victimes en se présentant comme des collaborateurs d'instituts financiers dignes de confiante.

Les attaques de hameçonnage font partie de la catégorie des attaques de « l’homme au milieu ». Dans ce type d’attaque, la communication passe par une station intermédiaire non autorisée (l’homme au milieu, agresseur) qui écoute le flux de données réacheminé et le manipule le cas échéant. Dans le cas de hameçonnage, elle désabuse des informations d’inscription pour l’inscription chez le serveur authentique du web de l’établissement financier.

La figure ci-dessous montre de façon schématique le fonctionnement d’une attaque de hameçonnage.

 

Hameçonnage en tant qu’attaque « L’homme au milieu (Man-in-the-Middle) »

 

En plus de la technique classique par email, il existe aujourd'hui différentes variantes (Vishing et QR-Phishing) qui seront décrites ci-après.

 

Phishing classique

Les modes opératoires des pirates

Dans le hameçonnage classique, les agresseurs cherchent à attirer les victimes potentielles sur des pages Web par le moyen d‘emails frauduleux et à les amener ainsi à saisir leurs données d’inscription sur les pages Web falsifiées. L‘agresseur en tant qu’exploitant de la page Web falsifiée entre ainsi en possession des informations d’inscription de la victime. Très souvent, les hameçonneurs collaborent avec des spammeurs, car ces derniers disposent de l’infrastructure nécessaire pour expédier des emails frauduleux en très grand nombre.

La figure ci-dessous montre un email frauduleux qui a été utilisé en 2005 pour une attaque sur le prestataire de paiement PayPal.

 

La figure ci-dessous montre un email falsifié qui a été utilisé en 2005 pour une attaque sur le prestataire de paiement PayPal

 


Le destinataire est invité dans l‘email à cliquer sur un lien afin de s’inscrire chez PayPal. Le lien affiché correspond à l’adresse réelle de la page login de PayPal (page web authentique). Cependant, en cliquant sur le lien c’est une connexion avec la page web de l’agresseur (page web falsifiée) imitée à s’y méprendre à la page web réelle qui se crée. L’adresse de la page web est affichée dans le cadre sur fond bleu. Microsoft Outlook affiche cette adresse automatiquement, lorsque le pointeur de la souris passe sur le lien. (Un clique de la souris n’est donc pas nécessaire.)

La séquence d’images ci-dessous montre la page web authentique de PayPal, la page falsifiée et les différences des deux pages.

Page web authentique:

Page web authentique

Page web falsifiée:

Page web falsifiée

Différences entre la page web falsifiée et la page authentique:

Différences entre la page web falsifiée et la page authentique

Prévention

Par un comportement approprié en surfant :

  • Ne jamais utiliser un lien envoyé par email pour se faire enregistrer dans un établissement financier. De même, il ne faut jamais remplir des champs dans des formulaires envoyés par email qui demandent d’entrer des informations d‘inscription. Les établissements financiers n’envoient jamais de tels emails !
  • La navigation sûre vers la page de login d’un établissement financier s’effectue par l’entrée manuelle de l’adresse dans la ligne d’adresse du logiciel de navigation.

Par la vérification de la connexion SSL :

 

Variantes du hameçonnage classique

Hameçonnage moyennant un logiciel malveillant

Lors du hameçonnage par un logiciel malveillant, ce n’est pas par un email falsifié que la victime est pas réacheminée vers une page web falsifiée d’un établissement financier mais par un logiciel malveillant (=logiciel pernicieux, p. ex. sous forme d’un cheval de Troie) qui s’est installé dans l’ordinateur de la victime. Lors de l’accès à la page web authentique, la victime est réacheminée automatiquement et sans s’en apercevoir à la page web falsifiée.

Prévention : La page web de l‘établissement financier doit être vérifiée quant à son authenticité. Etant donné que tous les établissements financiers mettent en œuvre des connexions SSL sécurisées, il conviendra de vérifier la connexion SSL quant à son authenticité.

Cliquez ici pour voir comment pouvoir vérifier un certificat.

 

Pharming

Le pharming, tout comme le hameçonnage classique ou le hameçonnage par logiciel malveillant, fait partie du groupe des attaques de « L’homme au milieu ». Mais dans le pharming, le réacheminement vers la page web falsifiée se fait par la manipulation du dit Domain Name System (DNS), un service internet qui joue on rôle prépondérant lors de l’établissement d’une connexion à un serveur d’internet. Le nom de pharming vient du fait que les agresseurs qui exercent le pharming disposent de vastes fermes de serveurs dans lesquelles différentes pages web falsifiées ont été déposées.

Prévention : La page web de l‘établissement financier doit être vérifiée quant à son authenticité. Etant donné que tous les établissements financiers mettent en œuvre des connexions SSL sécurisées, il conviendra de vérifier la connexion SSL quant à son authenticité.

Cliquez ici pour voir comment pouvoir vérifier un certificat.

Spear-phishing ou harponnage

Le spear-phishing ou harponnage est une tentative d’escroquerie ciblée par courriel. Contrairement au phishing classique, qui consiste à envoyer au hasard de grandes quantités d’emails à un large public, les destinataires du spear-phishing sont ciblés et reçoivent des courriels personnalisés rédigés sur mesure. Ce type d’attaque cible généralement une personne ou une organisation en particulier, et vise à dérober des données confidentielles. L’expéditeur se fait alors passer pour une personne de confiance, un membre de l’entourage, un collaborateur ou un interlocuteur connu de la victime. Le contenu du courriel apparaît plausible et authentique et n’est souvent pas reconnu par les filtres anti-spam.

Les modes opératoires des pirates

Voici un exemple typique de spear-Phishing :

  • L’attaquant trouve sur Internet ou sur le site Internet d'une entreprise le contact d’un certain nombre de salariés.
  • Il se rend ensuite sur les réseaux sociaux tels que Facebook et dans des forums de discussion spécialisés, à la recherche des profils des collaborateurs en question où il trouvera des informations personnelles sur leurs activités et leurs contacts. C’est sur cette base de renseignements qu'il échafaudera une attaque taillée sur mesure.
  • Les informations collectées lui permettent de rédiger, à l’attention du collaborateur dont il a trouvé l’adresse sur la page des contacts, un message personnalisé qui donnera vraiment l'impression d’être authentique. En se faisant passer pour l’administrateur du réseau informatique, le chef du personnel ou un autre interlocuteur, il formule une demande plausible ou invente un prétexte séduisant pour lui faire faire une action. Il peut par exemple demander au destinataire du courriel de cliquer sur un lien pour s'identifier sur une page spéciale en saisissant son identifiant et son mot de passe ou d'ouvrir une pièce jointe Office ou au format PDF.
  • Il suffit qu’un seul de ces collaborateurs choisis ne tombe dans un de ces pièges de spear-phishing pour que l’attaque réussisse : une fois qu'il a volé l’identité de sa victime et infecté son ordinateur, le cyberpirate peut accéder à des données personnelles et à des informations internes de l’entreprise, mais aussi compromettre et espionner les ordinateurs de d’autres collaborateurs.

Prévention

  • Pour se protéger, la meilleure chose est de savoir reconnaître ce type d'attaque. Toute demande de la part d'un collaborateur ou d’un supérieur de transmettre des informations confidentielles, toute requête inhabituelle de la part d'un interlocuteur ou tout lien contenant une URL inconnue doit éveiller la prudence. Même chose pour les pièces jointes invitantes – mais trompeuses – au nom éloquent tel que « Salaires_2018.xls » ou « Communiqué de presse-Suppression de postes.pdf ».
  • Lorsque vous vous interrogez quant à l’authenticité d’un courriel, contactez l’expéditeur en utilisant un autre moyen de communication comme le téléphone par exemple. S’il s’agit de votre institut bancaire, utilisez exclusivement les numéros de téléphone officiels, que vous retrouverez par exemple sur vos extraits de compte.
  • Si vous êtes actifs sur les réseaux sociaux, mieux vaut éviter d’être trop ouvert. Il convient de faire particulièrement attention à ce que vous publiez sur des comptes publics comme Facebook, Twitter ou Instagram. Pour en savoir plus, cliquez ici.
  • Utilisez toujours un programme antivirus et veillez à installer le plus rapidement possible les mises à jour de votre système d’exploitation, navigateur, ainsi que des programmes et des applications.

Vishing (Voice-Phishing ou hameçonnage par téléphone)

Le Vishing est une variante du phishing basée sur la communication vocale par téléphone. Le terme « Vishing » est un mot-valise issu de la contraction de Voice ou VoIP (voix sur IP) et de phishing. Il désigne la collecte organisée de données via téléphone. Comme dans le hameçonnage classique, l'utilisateur est incité, après s'être vu raconter une histoire bien ficelée, à révéler des informations confidentielles telles que ses données d'accès à l'e-banking. La préparation de l'attaque, de même que le vol des données en lui-même, peuvent avoir lieu par téléphone. Le Vishing est donc un type d'attaque par Social Engineering (ingénierie sociale).

Les modes opératoires des pirates

Les modes opératoires des cyberfraudeurs sont aujourd'hui bien connus :

  • Un automate téléphonique est utilisé pour appeler les numéros des victimes. Lorsqu’une personne répond à un de ces appels, un message pré-enregistré fait croire à la victime que l'appel provient d'une institution parfaitement fiable, comme un institut bancaire. Au cours de l'appel, la victime est invitée à révéler des informations confidentielles telles que ses numéros de comptes, ses codes PIN et TAN.
    Ce mode opératoire permet notamment aux fraudeurs de profiter des coûts faibles de la téléphonie par Internet.
  • En plus de ce procédé d'appels automatisés avec messages pré-enregistrés, il existe aussi des variantes personnelles qui prévoient l'intervention directe des escrocs auprès des victimes potentielles. Comme lors de l'appel automatisé, ils font croire à la victime que l'appel provient d'une institution parfaitement fiable, comme un institut bancaire. Prétextant un processus d'amélioration de la sécurité ou des problèmes sur le compte, ils poussent leurs victimes à révéler des informations secrètes telles que mots de passe, PIN ou TAN.
    Les appels peuvent être conduits de manière très professionnelle et même parfois en suisse allemand ou français.
  • Une autre variante de Vishing consiste en l'envoi d'emails frauduleux incitant le destinataire, sous un prétexte quelconque, à composer un numéro de téléphone donné. Ainsi, les victimes reçoivent par exemple un email contrefait provenant apparemment de leur institut financier et les informant que leur carte de crédit a été fraudée. Pour éviter le pire, le destinataire du message est invité à se manifester immédiatement. Lorsque la victime répond à cette invitation et appelle le numéro indiqué, elle tombe sur un message automatique ou directement sur le fraudeur qui lui demande de s'identifier en communiquant par exemple le numéro de la carte de crédit concernée, de vive voix ou bien par l'intermédiaire des touches du téléphone.
    Cette forme d'attaque est particulièrement insidieuse dans la mesure où elle reprend le conseil donné par les banques de ne jamais répondre à des emails mais de prendre contact par téléphone avec l'institut.

Prévention

  • Ne communiquez jamais des données personnelles (comme vos mots de passe par exemple) à d'autres personnes. Raccrochez immédiatement, lorsque vous entendez qu'on vous le demande au téléphone.
  • Pour contacter votre institut bancaire, utilisez exclusivement les numéros de téléphone officiels, que vous retrouverez par exemple sur vos extraits de compte.

QR-Phishing

Les codes QR (Quick Response Codes) se trouvent souvent sur les produits, les affiches publicitaires ou de cinéma, les catalogues ou tout autre média de la presse écrite. Ils servent à diriger l'utilisateur vers des sources d'informations supplémentaires sur Internet. Comme le contenu des codes QR ne peuvent pas d'emblée être décodés par l'œil humain, le code doit tout d'abord être scanné, à l'aide d'un smartphone par exemple. Ainsi, les utilisateurs ne peuvent généralement pas reconnaître les informations codées contenues dans un code QR, ce qui convient parfaitement aux cyberfraudeurs.

Le mode opératoire des pirates

Les fraudeurs procèdent la plupart du temps de la manière suivante : ils collent leurs propres codes QR conduisant à une fausse URL sur d'authentiques codes QR situés dans des lieux très fréquentés, de manière à attirer dans leur piège des utilisateurs peu méfiants. De cette manière, ils peuvent tout de suite, en particulier sur les dispositifs mobiles, démarrer des téléchargements, exécuter des scripts ou afficher une fausse page d'ouverture de session d'e-banking. Cela est d'autant plus facile pour les cyberpirates que les utilisateurs ont généralement plus de mal à distinguer les bonnes et les mauvaises URL. Par ailleurs, les différents systèmes d'exploitation ne donnent peu ou pas d'informations sur le démarrage des téléchargements.

Prévention

  • Avant de scanner un code QR, assurez-vous que celui-ci n'a pas été recouvert par un autre, probablement falsifié.
  • Utilisez, si possible, un scanner de code QR (application), qui va tout d'abord afficher les contenus décodés puis demander si l'on souhaite visiter un lien ou exécuter une action déterminée. Vérifiez si possible si le lien renvoie effectivement à l'adresse souhaitée.
  • N'utilisez jamais un code QR pour vous identifier auprès d'un institut financier.

 

Pour que vous receviez des courriels d’hameçonnage, les escrocs doivent connaître votre adresse de messagerie électronique. Pour diminuer ce risque et plus généralement pour réduire la quantité de spam dans votre boîte de réception, il convient de suivre quelques règles simples que nous avons regroupées dans notre fiche consacrée au spam et aux emails d’hameçonnage.

 

antiphishing.ch Banner

 

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankBanque Cantonale BernoiseFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Banca SAGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BaerLiechtensteinische Landesbank AGLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankTriba Partner Bank AGUBSUrner KantonalbankValiant Bank AGVontobel AGVP BankWalliser KantonalbankZuger KantonalbankZürcher Kantonalbank