Outils pour utilisateurs

Outils du site


sysadmin:securite:virus:phishing

Des exemples de phishing (hameçonnage, filoutage)

Le phishing (ou hameçonnage, filoutage) passe par le spam.

Il s'agit le plus souvent d'arnaquer financièrement les internautes naïfs. Il peut aussi s'agir de récupérer les identifiants (login et mots de passe) d'autres internautes naïfs pour envoyer du spam depuis une adresse réelle via plate-forme de courrier saine. Enfin, il peut s'agir aussi de comptes sur des plate-formes en ligne comme Facebook ou des sites de jeu en ligne (poker…).

Pour cela, des campagnes de spam sont mises en place. Les messages envoyés massivement aux victimes potentielles ressemblent en tous points avec ceux émanant d'administrations ou d'entreprises et incitent le lecteur à cliquer sur un lien souvent trafiqué (i. e. le lien affiché n'est pas le lien réel). La page associée au lien réel propose alors de saisir des coordonnées (bancaires le plus souvent), coordonnées qui sont collectées par les criminels.

Pour éviter le phishing, suivez ces instructions ; pour lutter contre, consultez cette autre page.

Orange

Voici un exemple réel de phishing (hameçonnage) reçu par un utilisateur : Exemple de phishing dans Thunderbird 2 On note ne particulier que le texte affiché en guise de lien ne correspond pas au lien réel : en positionnant le curseur sur le lien, on voit que l'URL affichée n'est pas l'URL réelle.

Cliquons néanmoins (uniquement à titre d'exemple, à ne pas faire chez soi !) sur cette URL malicieuse pour suivre ce lien plombé : Firefox affiche une vilaine alerte Firefox affiche une alerte (le site a été signalé comme malicieux).

Impôts

Autre exemple très en vogue actuellement (mi-octobre 2009) : Un mail de la DGI contrefait Notez bien le lien malicieux et les nombreuses fautes de syntaxe qui laissent penser que ce n'est pas un francophone qui a rédigé ce message (mais plutôt un logiciel de traduction automatique).

Il faut savoir que .secure est très probablement un répertoire (car séparé par deux barres obliques) et que les fichiers et répertoires dont le nom commence par un . (point) ne sont pas affichés par défaut sur Unix ; un tel nom est probablement nommé ainsi pour que l'administrateur ne le voit pas.

La Direction générale des finances publiques demande de leur signaler ces messages frauduleux, cf. l'avertissement sur impots.gouv.fr.

Voici une capture de ce que la page à laquelle on accède en suivant un de ces liens :

site de la DGI contrefait

On note en particulier :

  1. que (notes 1 sur le schéma) les accents UTF-8 sont mal gérés : affiche du caractère � là où devraient figurer des accents ;
  2. quelques problèmes d'affichage (notes 2 sur le schéma) ;
  3. que l'URL n'est pas en impots.gouv.fr mais qu'elle l'affiche néanmoins…
  4. que l'URL n'est pas sécurisée : elle commence par http:// et non pas httpS:// donc en validant le formulaire, les données transitent en clair sur le réseau (voir Notions élémentaires sur le chiffrement (PGP, SSH, SSL, TLS, …)) ce qui n'est pas la politique en vigueur au Ministère des Finances ;
  5. que le formulaire demande un numéro de carte bancaire, ce que ne fait jamais la DGI ;
  6. que l'adresse commence ici par une adresse IP mais pas par un nom dans le domaine impots.gouv.fr. Ici il s'agit de http://189.26.241.170/.site/fr/?http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement autrement dit :
    • vous vous connectez (en clair) à http://189.26.241.170/,
    • les fichiers sont dans un répertoire (caché sous Unix car commençant par un .) nommé .site,
    • avec un argument — probablement pour induire en erreur l'internaute — mentionnant le site de la DGI.

Remplir le formulaire et le valider à donc pour conséquence :

  1. d'envoyer vos coordonnées bancaires sur un site dont vous ignorez tout,
  2. à des gens dont vous ne savez quel usage ils en feront,
  3. le tout en clair (si une tierce personne lit le trafic au passage, elle dispose de vos coordonnées bancaires elle aussi).

En effet, rappelons une nouvelle fois que le protocole HTTPS utilise SSL/TLS. À ce titre, outre le chiffrement des données, il vous assure que le serveur avec lequel vous communiquez est bien qui il prétend être (relire l'intérêt dans le contexte des échanges sur Internet SSL).

Mise à jour 31 août 2010 : cette arnaque a été améliorée et, à croire que les escrocs nous lisent, corrigée des erreurs montrées ci-dessus. Phishing impôts 2010

Le message électronique envoyé par info-fiscale@finances.gouv.fr, dont le sujet est Notification d'impot - Remboursement est un faux. Le message contient un lien vers http://novonet-mk.net/.webps/ ; lorsque la page est chargée, on note que l'adresse est :

http://novonet-mk.net/webp/impots.gouv.fr/fr/?http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement

Ici, quoiqu'apparaisse la chaînehttp://www.impots.gouv.fr, le vrai serveur est novonet-mk.net et tout ce qui suit le caractère ? n'est qu'un paramètre qui ne sert qu'à embrouiller l'internaute et lui faire croire qu'il est bien sur le site de la DGI.

Attention à l'URL !

Attention au piratage de compte !

Cas classique : ce matin vous recevez un mail vous demandant de changer votre mot de passe ou que votre quota de stockage est dépassé. Exemple récent :

From: "Webmaster" <quota@webmaster.com>
Subject: URGENT: Expand Your Email Quota
Date: Fri, 27 Aug 2010 01:14:22 +0200
To: undisclosed-recipients:;

You have Exceeded the Storage Limit on your E-mail Box.

Due to the Low Storage, in 72 Hours from now, You will not be able to Send or 
Receive New E-mail Messages, until you upgrade your E-mail Quota.

Click the below Link and Fill the Form to Upgrade your Account.
http://plop.con/naif/

Webmaster Support Helpdesk
198.168.0.101.0

Naïvement, vous cliquez sur le lien http://plop.con/naif/ et vous renseignez le formulaire.

Félicitations, vous venez de donner votre identifiant (login) et votre mot de passe à un inconnu.

  • Quel intérêt pour l'inconnu en question ? Utiliser votre compte pour envoyer du spam avec votre identité.
  • Quel impact pour vous ? Changement de votre mot de passe brutal et blocage de votre compte par l'Équipe système dès qu'elle s'en aperçoit. Éventuellement, vous pouvez être l'objet d'une procédure judiciaire.
  • Quel impact pour l'institution ? Un éventuel dépôt de plainte, dégradation de son image, éventuellement inscription de l'institution sur des listes noires (vos mails et ceux de vos collègues n'arriveront plus à destination…).
  • Quel impact sur l'Équipe système ? Une demi-journée de travail pour l'administrateur.

Comment éviter cela ?

  1. en ne cliquant pas n'importe où,
  2. en se demandant si l'expéditeur est réellement susceptible d'écrire dans un anglais ou un français approximatif,
  3. en « vérifiant » que l'expéditeur est bien qui il prétend être (mais l'usurpation d'identité est facile),
  4. en mettant en œuvre ces conseils : Usage sécurisé de Mozilla Thunderbird,
  5. en vérifiant que l'URL commence bien par '' ou https://www.eila.univ-paris-diderot.fr :!: Pour l'UFR EILA, si vous devez taper un login et un mot de passe, alors vous utilisez HTTPS ; sinon, il y a un problème ; c'est nécessaire mais pas suffisant. <note tip> Au moindre doute, n'hésitez pas à nous demander (en écrivant à sysadmin@eila.univ-paris-diderot.fr'').

</note>

Depuis juillet 2010, une campagne cible les établissements universitaires. Exemple :

From: WEBMASTER <info@mail.com>
Subject: vous avez dépassé votre quota de courriel

Ceci est pour vous informer que vous avez dépassé votre quota de
courriel limite de 325MB et vous avez besoin pour augmenter votre
limite de quota de courriel parce que dans moins de 48 heures de votre
e-mail sera désactiver. Augmentation votre limite de quota de courriel
et de continuer à utiliser votre compte webmail. Pour augmenter votre
limite de quota de courriel à 1.7 Go, cliquez sur le lien ci-dessous:

http://www.truc.com/bidule

Nous vous remercions de votre compréhension. Copyright © 2010 Centre
Webmail Helpdest Support

(l'URL (adresse du site Web) a été changée). Évidemment, il ne faut pas donner suite.

Pour configurer Thunderbird correctement, suivez les instructions suivantes : Usage sécurisé de Mozilla Thunderbird. Pour protéger votre système Windows, ne manquez pas les bonnes pratiques : Outils de sécurité Microsoft.

sysadmin/securite/virus/phishing.txt · Dernière modification: 2014/06/24 20:02 (modification externe)