Hameçonnage et arnaques par mail

1
2
OUCH! | Décembre 2011
Dans cette édition
• Hameçonnage
• Arnaques
• Se protéger
Hameçonnage et arnaques par mail RÉDACTEUR EN CHEF INVITE
Pieter Danhieux est le rédacteur en chef invite de cette
décrire le vol de mots de passe et détails de connexion des
édition. Il travaille pour BAE Systems stratsec en Australie
sites « d’ebanking ». Cependant, le terme a évolué et décrit
(www.stratsec.net) et est instructeur pour les cours de tests
actuellement quasiment toutes les d’attaques utilisant
d’intrusion au “SANS Institute”.
l’email.
Une attaque d’hameçonnage commence par la réception
d’un email prétendument venant d’une personne ou d’une
INTRODUCTION
L’email est l’un des moyens de communication principal.
Nous ne l’utilisons pas uniquement chaque jour dans nos
entreprises, mais également afin de garder contact avec
nos amis et notre famille. De plus, l’email est utilisé pour
fournir un nombre grandissant de produits et services, tels
que les confirmations de commandes sur les sites
marchands ou pour recevoir des informations sur nos
comptes en banque. Etant donné que tant de personnes
dépendent de l’email, celui-ci est devenu également un des
moyen les plus utilisé par les cyber criminels. Dans cette
édition, nous allons expliquer les dangers liés à l’utilisation
de l’email et les moyens de se protéger.
entité en qui vous avez confiance tel que votre banque ou
un site marchand bien connu. Ces emails essaient de vous
convaincre de faire une action tel que ouvrir un fichier
attaché, cliquer sur un lien ou simplement répondre au
message. Les cyber criminels créés ces emails de la
manière la plus convaincante possible et les envoies
ensuite à des centaines de milliers, voire même millions, de
personnes. Ces criminels n’ont pas de cible particulière en
vue, ils ne savent pas non plus à l’avance qui va tomber
dans le piège, mais savent seulement que plus ils en
envoient plus ils ont de chance que quelqu’un se fasse
piéger. Les attaques d’hameçonnage ont en général un de
ces objectifs:
L’HAMEÇONNAGE
•
Vol d’information : Le but est de vous amener à
L’hameçonnage (“phishing”) est un des types d’attaque les
cliquer sur un lien afin de vous diriger vers une
plus
copie quasiment exacte d’un site légitime et vous
commun.
Il
utilise
l’ingénierie
sociale
(« social
engineering”), une technique ou le cyber criminel tente de
demander votre identifiant ou mot de passe ou
convaincre la victime de faire une action prédéfinie.
également les réponses aux questions secrètes
L’hameçonnage était un terme utilisé initialement afin de
que certains sites utilisent afin de récupérer votre
© The SANS Institute 2011
http://www.securingthehuman.org
4
3
OUCH! | Décembre 2011
Hameçonnage et arnaques par mail
mot de passe perdu (par exemple votre couleur
préférée, ou le nom de votre chien, etc). Ces faux
sites permettent ainsi d’enregistrer vos identifiants. •
Contrôler votre ordinateur grâce à un clique sur
un lien : Encore une fois, le cyber criminel tente de
vous convaincre de cliquer sur un lien. Par contre,
cette fois-ci, le but est d’infecter votre ordinateur. Si
vous cliquez sur le lien, vous êtes redirigés vers un
site qui lance une attaque sur votre navigateur et
qui leur permet, si l’attaque est réussie, de
contrôler complètement votre poste de travail.
•
Contrôler votre ordinateur grâce à l’ouverture
de fichier attaché : Ces attaques utilisent un
fichier attaché (fichiers PDF, Microsoft Word,
applications, …) permettant, si vous l’ouvrez, de
donner à l’attaquant le contrôle total sur votre
ordinateur ainsi que sur toutes les données qu’il
contient.
SCAMS (ARNAQUES):
Utilisez votre bon sens, si
un e-mail semble bizarre
ou trop beau pour être
vrai, il s’agit certainement
d'une attaque.
Les “scams” ne sont pas nouveaux, ce sont des tentatives
d’escroquerie. Les exemples classiques, sont un email
vous informant que vous avez gagné à la loterie (même si
Voici quelques indications afin de détecter s’il s’agit d’une
vous n’y avez jamais joué) ou qu’une personne vous
attaque:
demande de l’aider à transférer quelques millions de dollars
dans votre pays et vous paierait afin de l’aider à faire cette
•
répondre rapidement ou donnant un sens
transaction. Ils vous demandent ensuite de payer les
d’urgence, il s’agit souvent de méthode de
charges liées au transfert, et lorsque vous les avez payés
ils disparaissent dans la nature.
SE PROTÉGER
manipulation afin de tromper les utilisateurs
•
Soyez vigilants quant aux emails contenant un titre
générique tel que « Cher client »
•
Soyez vigilants quant aux emails contenant des
fautes de grammaire ou d’orthographe
Dans la plupart des cas, simplement lire un email n’est pas
dangereux. Pour que la majorité des attaques fonctionnent,
Soyez vigilants quant aux emails demandant de
•
Si un lien vous paraît étrange, glissez la souris sur
vous devez faire une action afin de les rendre effectives
celui-ci sans cliquer et il vous montrera la vraie
(par ex. ouvrir une pièce jointe, cliquer sur un lien, …). Si
destination du lien. Les liens affichés dans les
en le lisant vous pensez qu’il s’agit d’une attaque, effacez
emails peuvent vous rediriger vers une destination
le simplement.
différente de ce qui est écrit
© The SANS Institute 2011
http://www.securingthehuman.org
6
5
OUCH! | Décembre 2011
Hameçonnage et arnaques par mail
•
Ne cliquez pas directement sur les liens. Copiez-
Comment fonctionne l’hameçonnage :
collez les dans votre navigateur, ou encore mieux
http://preview.tinyurl.com/c8ntufr
tapez les directement dans votre barre d’adresse.
Identifiez l’hameçonnage:
Par exemple, si vous recevez un email provenant
http://preview.tinyurl.com/6m79cf9
soit disant de la société « UPS », ne cliquez pas
sur le lien mais allez sur le site web d’ « UPS » et
Empêcher l’hameçonnage:
entrez la référence de suivi de colis
•
http://preview.tinyurl.com/bn98d5b
Méfiez-vous des fichiers attachés, n’ouvrez
uniquement les fichiers que vous attendiez
•
Groupe de travail Anti-Phishing: http://www.apwg.org
Ce n’est pas parce que vous recevez un email d’un
ami ou d’une personne que vous connaissez que
Phishtank: http://www.phishtank.org
vous devez absolument y faire confiance. Cette
personne peut avoir été infectée ou son compte
compromis. Vérifiez directement avec la personne
EN SAVOIR PLUS
qu’il s’agisse bien d’un email envoyé par elle
Enregistrez-vous à la lettre d’information mensuelle pour la
sensibilisation à la sécurité OUCH !, accédez aux archives
OUCH! et obtenez plus d’information concernant les
Finalement utilisez votre bon sens, si l’email semble
solutions de sensibilisation à la sécurité SANS en visitant
étrange ou trop beau pour être vrai, il s’agit certainement
notre site : http://www.securingthehuman.org.
d’une attaque.
VERSION FRANÇAISE
RESSOURCES
L’équipe Sécurité de Answer S.A. offre des services de
Certains liens présentés ci-dessous ont été raccourcis,
Conseil, d’Audit et d’Architectures en sécurité des
pour améliorer la lisibilité, avec le service TinyURL. Afin de
systèmes d’information. Ces activités sont accompagnées
minimiser les problèmes de sécurité, OUCH ! utilise
d’une veille active sur les solutions de sécurité du marché,
et d’une activité de recherche en vulnérabilité, réalisées
toujours la fonctionnalité d’aperçu de TinyURL, qui vous
dans notre laboratoire technique.
montre la destination finale du lien et vous demande votre
Pour en savoir plus, veuillez vous référer au lien suivant :
permission avant de vous y rediriger. Certains sites sont
http://www.answersolutions.ch ou
anglophones.
http://blog.answersecurity.ch
OUCH! est publiée par le programme SANS « sécuriser l’humain » (Securing The Human) et est distribuée sous la licence « Creative Commons BY-­‐NC-­‐ND 3.0 ». La distribution de cette lettre d’information est autorisée tant que vous faites référence à la source, qu’elle commerciales. Afin d’obtenir des traductions ou plus n’a subie aucune modification et qu’elle n’est pas utilisée à des fins d’informations, merci de contacter [email protected]. Comité de rédaction : Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen Ruyle Hardy Traduit par : Marc Doudiet, Yoann Le Corvic et Damien Lassus © The SANS Institute 2011
z http://www.securingthehuman.org