Hameçonnage et arnaques par mail
Transcription
Hameçonnage et arnaques par mail
1 2 OUCH! | Décembre 2011 Dans cette édition • Hameçonnage • Arnaques • Se protéger Hameçonnage et arnaques par mail RÉDACTEUR EN CHEF INVITE Pieter Danhieux est le rédacteur en chef invite de cette décrire le vol de mots de passe et détails de connexion des édition. Il travaille pour BAE Systems stratsec en Australie sites « d’ebanking ». Cependant, le terme a évolué et décrit (www.stratsec.net) et est instructeur pour les cours de tests actuellement quasiment toutes les d’attaques utilisant d’intrusion au “SANS Institute”. l’email. Une attaque d’hameçonnage commence par la réception d’un email prétendument venant d’une personne ou d’une INTRODUCTION L’email est l’un des moyens de communication principal. Nous ne l’utilisons pas uniquement chaque jour dans nos entreprises, mais également afin de garder contact avec nos amis et notre famille. De plus, l’email est utilisé pour fournir un nombre grandissant de produits et services, tels que les confirmations de commandes sur les sites marchands ou pour recevoir des informations sur nos comptes en banque. Etant donné que tant de personnes dépendent de l’email, celui-ci est devenu également un des moyen les plus utilisé par les cyber criminels. Dans cette édition, nous allons expliquer les dangers liés à l’utilisation de l’email et les moyens de se protéger. entité en qui vous avez confiance tel que votre banque ou un site marchand bien connu. Ces emails essaient de vous convaincre de faire une action tel que ouvrir un fichier attaché, cliquer sur un lien ou simplement répondre au message. Les cyber criminels créés ces emails de la manière la plus convaincante possible et les envoies ensuite à des centaines de milliers, voire même millions, de personnes. Ces criminels n’ont pas de cible particulière en vue, ils ne savent pas non plus à l’avance qui va tomber dans le piège, mais savent seulement que plus ils en envoient plus ils ont de chance que quelqu’un se fasse piéger. Les attaques d’hameçonnage ont en général un de ces objectifs: L’HAMEÇONNAGE • Vol d’information : Le but est de vous amener à L’hameçonnage (“phishing”) est un des types d’attaque les cliquer sur un lien afin de vous diriger vers une plus copie quasiment exacte d’un site légitime et vous commun. Il utilise l’ingénierie sociale (« social engineering”), une technique ou le cyber criminel tente de demander votre identifiant ou mot de passe ou convaincre la victime de faire une action prédéfinie. également les réponses aux questions secrètes L’hameçonnage était un terme utilisé initialement afin de que certains sites utilisent afin de récupérer votre © The SANS Institute 2011 http://www.securingthehuman.org 4 3 OUCH! | Décembre 2011 Hameçonnage et arnaques par mail mot de passe perdu (par exemple votre couleur préférée, ou le nom de votre chien, etc). Ces faux sites permettent ainsi d’enregistrer vos identifiants. • Contrôler votre ordinateur grâce à un clique sur un lien : Encore une fois, le cyber criminel tente de vous convaincre de cliquer sur un lien. Par contre, cette fois-ci, le but est d’infecter votre ordinateur. Si vous cliquez sur le lien, vous êtes redirigés vers un site qui lance une attaque sur votre navigateur et qui leur permet, si l’attaque est réussie, de contrôler complètement votre poste de travail. • Contrôler votre ordinateur grâce à l’ouverture de fichier attaché : Ces attaques utilisent un fichier attaché (fichiers PDF, Microsoft Word, applications, …) permettant, si vous l’ouvrez, de donner à l’attaquant le contrôle total sur votre ordinateur ainsi que sur toutes les données qu’il contient. SCAMS (ARNAQUES): Utilisez votre bon sens, si un e-mail semble bizarre ou trop beau pour être vrai, il s’agit certainement d'une attaque. Les “scams” ne sont pas nouveaux, ce sont des tentatives d’escroquerie. Les exemples classiques, sont un email vous informant que vous avez gagné à la loterie (même si Voici quelques indications afin de détecter s’il s’agit d’une vous n’y avez jamais joué) ou qu’une personne vous attaque: demande de l’aider à transférer quelques millions de dollars dans votre pays et vous paierait afin de l’aider à faire cette • répondre rapidement ou donnant un sens transaction. Ils vous demandent ensuite de payer les d’urgence, il s’agit souvent de méthode de charges liées au transfert, et lorsque vous les avez payés ils disparaissent dans la nature. SE PROTÉGER manipulation afin de tromper les utilisateurs • Soyez vigilants quant aux emails contenant un titre générique tel que « Cher client » • Soyez vigilants quant aux emails contenant des fautes de grammaire ou d’orthographe Dans la plupart des cas, simplement lire un email n’est pas dangereux. Pour que la majorité des attaques fonctionnent, Soyez vigilants quant aux emails demandant de • Si un lien vous paraît étrange, glissez la souris sur vous devez faire une action afin de les rendre effectives celui-ci sans cliquer et il vous montrera la vraie (par ex. ouvrir une pièce jointe, cliquer sur un lien, …). Si destination du lien. Les liens affichés dans les en le lisant vous pensez qu’il s’agit d’une attaque, effacez emails peuvent vous rediriger vers une destination le simplement. différente de ce qui est écrit © The SANS Institute 2011 http://www.securingthehuman.org 6 5 OUCH! | Décembre 2011 Hameçonnage et arnaques par mail • Ne cliquez pas directement sur les liens. Copiez- Comment fonctionne l’hameçonnage : collez les dans votre navigateur, ou encore mieux http://preview.tinyurl.com/c8ntufr tapez les directement dans votre barre d’adresse. Identifiez l’hameçonnage: Par exemple, si vous recevez un email provenant http://preview.tinyurl.com/6m79cf9 soit disant de la société « UPS », ne cliquez pas sur le lien mais allez sur le site web d’ « UPS » et Empêcher l’hameçonnage: entrez la référence de suivi de colis • http://preview.tinyurl.com/bn98d5b Méfiez-vous des fichiers attachés, n’ouvrez uniquement les fichiers que vous attendiez • Groupe de travail Anti-Phishing: http://www.apwg.org Ce n’est pas parce que vous recevez un email d’un ami ou d’une personne que vous connaissez que Phishtank: http://www.phishtank.org vous devez absolument y faire confiance. Cette personne peut avoir été infectée ou son compte compromis. Vérifiez directement avec la personne EN SAVOIR PLUS qu’il s’agisse bien d’un email envoyé par elle Enregistrez-vous à la lettre d’information mensuelle pour la sensibilisation à la sécurité OUCH !, accédez aux archives OUCH! et obtenez plus d’information concernant les Finalement utilisez votre bon sens, si l’email semble solutions de sensibilisation à la sécurité SANS en visitant étrange ou trop beau pour être vrai, il s’agit certainement notre site : http://www.securingthehuman.org. d’une attaque. VERSION FRANÇAISE RESSOURCES L’équipe Sécurité de Answer S.A. offre des services de Certains liens présentés ci-dessous ont été raccourcis, Conseil, d’Audit et d’Architectures en sécurité des pour améliorer la lisibilité, avec le service TinyURL. Afin de systèmes d’information. Ces activités sont accompagnées minimiser les problèmes de sécurité, OUCH ! utilise d’une veille active sur les solutions de sécurité du marché, et d’une activité de recherche en vulnérabilité, réalisées toujours la fonctionnalité d’aperçu de TinyURL, qui vous dans notre laboratoire technique. montre la destination finale du lien et vous demande votre Pour en savoir plus, veuillez vous référer au lien suivant : permission avant de vous y rediriger. Certains sites sont http://www.answersolutions.ch ou anglophones. http://blog.answersecurity.ch OUCH! est publiée par le programme SANS « sécuriser l’humain » (Securing The Human) et est distribuée sous la licence « Creative Commons BY-‐NC-‐ND 3.0 ». La distribution de cette lettre d’information est autorisée tant que vous faites référence à la source, qu’elle commerciales. Afin d’obtenir des traductions ou plus n’a subie aucune modification et qu’elle n’est pas utilisée à des fins d’informations, merci de contacter [email protected]. Comité de rédaction : Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen Ruyle Hardy Traduit par : Marc Doudiet, Yoann Le Corvic et Damien Lassus © The SANS Institute 2011 z http://www.securingthehuman.org