Le Phishing par Carlo HARPES

Club de la Sécurité des Systèmes d’Information au Luxembourg
Phishing
Comment protéger mes données
bancaires sur Internet
Carlo Harpes
CTO
Telindus PSF - Luxembourg
Netdays 23-26/11/2004
© Telindus & Clussil 2004
1
Agenda et motivation
•
•
•
•
•
•
•
•
•
•
Définitions
Comment phisher?
Organismes touchés
Info divers et évolutions du phénomènes
Exemples
Programmation URL-Cloaking
Recommendations aux Internautes
Contre-mesures et protections
Paiement sécurisé sur Internet
Questions
Netdays 23-26/11/2004
© Telindus & Clussil 2004
2
Exemple: Ebay
Netdays 23-26/11/2004
© Telindus & Clussil 2004
3
Définitions
• Phishing = forme d'escroquerie en ligne qui a pour but
d'obtenir, à travers internet et des moyens détournés, en
trompant la vigilance des utilisateurs, des informations
confidentielles qui seront utilisées de manière illégale
• Phish = e-mail malicieux
• Phisher = pirate adept du Phishing
• Phishing = (Phreaking + Fishing)
• Phreaking: hacking des centrales téléphoniques, depuis la
blue Box de John Draper dans les années 70.
• Fishing: Allusion à la pêche de mot de passe dans l’océan
Internet
Netdays 23-26/11/2004
© Telindus & Clussil 2004
4
Comment phisher?
Le phishing associe:
• SPAM (envoie e-mail en masse, non sollicité)
• Spoofing (en cachant l’identité de l’expéditeur)
• Social engineering (inciter l’utilisateur à suivre un lien)
• URL Cloaking (faire croire que l'utilisateur va/est sur le site
officiel)
• Scam (reproduire un site qui ressemble au site attendu de
la victime; même arborescence, lien vers le bon site ou exit
avec e-mail pointant vers le bon site… )
• Pratiques mafieuses (Utilisation des données saisies sur
ce site, pour vider les comptes bancaires, dissimuler le
chemin de l’argent, …)
Netdays 23-26/11/2004
© Telindus & Clussil 2004
5
Organismes touchés
• –
Deutsche Bank AG1 (Allemagne)
•
–
Postbank AG 1 (Allemagne)
•
–
Westpak1 (Australie)
•
–
Belgacom / Skynet3 (Belgique)
•
–
Société Générale1 (France)
•
–
Bred1 (France)
•
–
Citibank1 (UK)
•
–
Barclays1 (UK)
•
–
Lloyds1 (UK)
•
–
eBay et Paypal (USA)
•
–
VISA1 (USA)
•
–
US Bank1 (USA)
•
–
AOL (USA)
•Netdays
– 23-26/11/2004
Fleet1 (USA)
© Telindus & Clussil 2004
6
Divers sur les attaques
•
•
•
•
•
•
•
Selon PG, 90% non signalé
Détourneurs ne touchaient que 10%
D’abord en anglais, mais propagation aussi en France (2 cas) et
Allemagne
Numéros de carte de crédit sont cibles fréquents
9/2003: Arrestation d’un fraudeur en Roumanie qui a coûté 500 000 $
aux utilisateurs d’eBay
Croissant de 52% sur 6 mois
Coût: 202 Mio $ (2004); 880 (2008) (Radicati Group) réparti:
o à 68% des organismes financiers,
• o à 17% des sociétés de cartes de crédits,
• o à 12% des sites d'e-commerce,
• o à 3% d’autres secteurs
•
•
Le BCEE a sensibilisé les utilisateurs d’S-net au risque.
Durée vie d'un site web lié au phishing (juin 2004) : 2.25 j
Netdays 23-26/11/2004
© Telindus & Clussil 2004
7
Evolution
Netdays 23-26/11/2004
© Telindus & Clussil 2004
8
Exemple Citizens Bank
Netdays 23-26/11/2004
© Telindus & Clussil 2004
9
Programmation URL-Cloaking
<font face="Arial, Helvetica, sans-serif" size="2">
<a href="http://196.15.171.42/a/c/index.php"
onMouseOver="window.status='https://www.citizensbank.com/tools/online/c
ustomer_validation.asp';return true;" onMouseOut="window.status=''">
https://www.citizensbank.com/tools/online/customer_validation.asp</a>
Netdays 23-26/11/2004
© Telindus & Clussil 2004
10
Exemple: Attack 16/11
Netdays 23-26/11/2004
© Telindus & Clussil 2004
11
Recommendations aux Internautes
• En général, utiliser Anti-Virus et Firewall à jour, installer les
correctifs
• Ne pas utiliser les liens dans e-mails
• Ne pas faire confiance au lien affiché (https://… ne garantit
pas l’authenticité du site visité)
• Suivre vos mouvements de comptes
(il y a des semaines entre l’usurpation du compte et les transferts fin.)
• Soyez vigilant: la conscience du problème et l’esprit critique
sont les meilleures armes
Netdays 23-26/11/2004
© Telindus & Clussil 2004
12
Contre-mesures et protections
SPAM filter (par les ISP)
Sensibilisation, clarification des flux de communications)
Web Application Security (cross-site scripting vulnerability)
Authentification forte (signature électronique, One-time
PWD, min carte code avec beaucoup de données)
• Informer des dernières connections
• Sensibilisations et formations des end-users
•
•
•
•
Netdays 23-26/11/2004
© Telindus & Clussil 2004
13
Issuer Domain
CardHolder
Interoperability Domain
Acquirer Domain
1
Merchant
2
3
5
4
18
10
Pay@Cetrel
11
14
12
13
18
7
Access
Control
Server
(ACS)
8
17
18
Netdays 23-26/11/2004
6
9
15
13
Issuer
Visa / Mc
Directory
Plug - In
Authentication
History
VisaNet /
EpsNet
18
Acquirer
16
18
© Telindus & Clussil 2004
14
Questions …
Merci pour votre attention
[email protected]
CLUb de la Sécurité des Systèmes d'Information - Luxembourg
Centre d'expertise au profit de tous ses membres
dans le domaine de l'audit, la sécurité et le contrôle des systèmes de l'information
Sources
•
•
•
•
APWG Phishing Attack Trends Report Juin, Oct. 2004 (www.antiphishing.org)
CLUSIF
Telindus Security Bulletin, doc interne CF6-Luxembourg
The Phishing Guide (www.ngsconsulting.com)
•
…
Netdays 23-26/11/2004
© Telindus & Clussil 2004
15
Paiement sécurisé sur Internet
1. Le porteur effectue une demande d'achat sur le site internet du marchand
(dénommé ci-après marchand)
2. Le marchand transmet au porteur l'URL de Pay@Cetrel
3. Le porteur transmet sa demande d'achat à Pay@Cetrel
4. Pay@Cetrel vérifie la demande d'achat auprès du marchand
5. Le porteur choisit le type de carte et transmet son numéro de carte à
Pay@Cetrel.
6. Le plug-in de Pay@Cetrel, en fonction de la carte, interroge le Directory soit de
Visa, soit de MasterCard (envoi du n° de carte).
7. Si le numéro de carte fait partie d'un intervalle de carte enrôlé, le Directory
interroge l'ACS approprié pour déterminer si la carte est enrôlée. (Sinon, le
Directory crée sa propre réponse à destination du Plug-In de Pay@Cetrel et le
flux continue avec l'étape 9)
8. L'Access Control Serveur répond au Directory en indiquant si l'authentification
pour la carte est possible
9. Le Directory transmet la réponse (celle de l'ACS + l'URL de l'ACS ou la sienne)
au plug-in de Pay@Cetrel. Si la carte n'est pas enrôlée ou si l'authentification
n'est pas possible, l'acquéreur devra soumettre une demande
d'autorisation/transaction classique et le flux continue avec l'étape 15
Netdays 23-26/11/2004
© Telindus & Clussil 2004
16
Paiement sécurisé sur Internet
1.
Le Plug-In de Pay@Cetrel envoit une demande d'authentification à
l'ACS par l'intermédiaire du browser du porteur
2.
L'ACS reçoit la demande d'authentification
3.
L'ACS authentifie le porteur par demande du PIN, constitue sa
réponse (contenant l'url du marchand, le montant, la devise, ...), et la
signe.
4.
L'ACS renvoie sa réponse au Plug-In de Pay@Cetrel par
l'intermédiaire du browser du porteur; il en envoie également une
copie à l'Authentication History
5.
Le Plug-In reçoit la réponse de la demande d'authentification et
valide la signature
6.
Pay@Cetrel soumet l'autorisation / transaction à l'acquéreur
7.
L'acquéreur soumet l'autorisation/ transaction à l'Issuer par le circuit
classique (VisaNet / EpsNet)
8.
L'Issuer reçoit l'autorisation/transaction
9.
La réponse de l'ISSUER est transmise au porteur et au marchand
Netdays 23-26/11/2004
© Telindus & Clussil 2004
17