Reconnaître les tentatives de « phishing » ou « hameçonnage »
Le net est une jungle. Comme dans le monde réel, on rencontre parfois des escrocs qui tentent de vous arnaquer avec des moyens plus ou moins subtils. Ces pratiques vont malheureusement tendrent à se multiplier avec l'augmentation du nombre d'internautes. Voici quelques tentatives de tromperie nommée « phishing » (aussi écrit « fishing ») ou « hameçonnage » qui sont relativement reconnaissables avec un peu d'attention et d'habitude... De plus, les Majors du Net ont depuis quelques temps mis en œuvre des outils efficaces et des notifications explicites (et plus ou moins intrusifs...) pour vous alerter dès qu'une menace se présente...
Je ne sors jamais sans mon couteau suisse...
Le « phishing », c'est quoi ?
Phishing se reproche donc du terme fishing, « pêcher » en anglais, et serait issu du jargon des pirates qui, il y a quelques années, essayaient de prendre possession de comptes AOL par la plus simple des solutions ; récupérer de manière détournée les vrais identifiants et mots passe pour accéder au compte du propriétaire. Le pirate se faisait passer pour un membre de l'équipe technique d'AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte FREE » ou « confirmer vos informations bancaires ». Depuis, le principe est resté le même... Cependant, au fil du temps, à l'image de ce qui se passe dans la nature, les stratégies et les pièges évoluent et se complexifient...
Aujourd'hui, ce sont directement les compte bancaires qui sont visés, il est plus simple de procéder ainsi que d'attaquer physiquement une banque. Il faut bien savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec ses clients...
Le « phishing » a fait plus de 2 millions de victimes en France en 2019
En 2020, le phénomène s'est encore amplifié...
Dixit Le Point : Le « phishing » est un phénomène en pleine expansion : il a fait plus de 2 millions de victimes en France en 2015. Selon Europe 1, qui révèle l'information, les Français ont été cent fois plus nombreux que deux ans auparavant à se faire « hameçonnées ». Le principe est simple : des gens vous expédient de faux mails et se font passer pour votre banque, le fisc ou encore un partenaire commercial. Alors que vous croyez avoir affaire à vos interlocuteurs habituels, vous livrez les informations qu'on vous demande : nom, prénom, adresse, état civil ou pire, vos codes bancaires. Toutes ces données sont immédiatement réutilisées... Même si ce chiffre me parait excessif, il n'en demeure pas moins massif et de plus en plus dangereux. Vous devez le savoir si vous avez une boite mail...
Deux méthodes sont utilisées :
- Reconstitution d'un email paraissant honnête pour vous faire croire que c'est la société officielle (banque, organisme de crédit, provider...) qui vous contacte le plus souvent pour signaler un incident sur ses serveurs et vous invitant à rentrer dans un espace réservé pour livrer des informations confidentielles. Les pirates vont jusqu'à insérer de vrais logos et de vrais liens dans le mail (cf. ci-dessous) et surtout réalise un site internet quasiment identique à l'original qui peuvent donc vous leurrer...
- Utilisation des failles de votre navigateur. Vous êtes redirigé sur une page dont l'adresse n'est pas celle affichée dans la barre du navigateur. Par exemple, il y a quelques années déjà, cela pouvait arriver sur Internet Explorer dont la faille n'a été corrigée qu'en 2004 ! Depuis, les méthodes se sont affinées et les mises en scène plus sophistiquées...
- Création d'un environnement (page de site où mène le lien cliqué) bien imité et rassurant pour la cible, et l'inviter à faire ce qu'on lui demande comme ici...
Voici quelques exemples des messages électroniques qui sont en réalité des tentatives de récupération de vos données personnelles non justifiées, autrement dit du « phishing » ou hameçonnage.
Dernier exemple de tentative de phishing...
Là, ce sont les impôts de 2018...
Là, il n'y a pas de commentaire à faire : seulement le petit frisson à la réception d'un mail du service des impôts...
Relativement "propre", les quelques erreurs de syntaxe et d'accords sautent aux yeux si l'on en a une lecture un peu attentive. Le lien, lui, renvoie vers un site nettement contrefait... Poubelle direct !
Puis, un autre... plus sérieux !
Quand on a un site web et que l'hébergeur - ici OVH - vous informe que votre site à été suspendu car vous n'avez pas payé la facture, on flippe !
Evidemment, le site marche toujours, mais peut-être va-t-il vraiment être suspendu dans les minutes qui suivent... Fredo, le propriétaire et gestionnaire du site reçoit le mail d'alerte et s'en inquiète bien évidemment et me prévient ! Dans ce cas là, puisque j'ai la main sur cet hébergement, le panneau d'administration ne me dit rien de particulier sauf que le domaine arrive à expiration... dans 2 mois... Et l'hébergement du site est chez Ionos... Rien à voir donc !
Je regarde de plus près et en conclus bien à la tentative de phishing... OVH et z Ionos préviennent bien les administrateurs des sites mais, dans ce cas, je suis moi-même bluffé par ce mail !
Exemple 1
Message reçu sur mon compte Free...
Message laconique et relativement bien écrit mais qui semble suspect... même si l'adresse et le lien à cliquer semblent corrects...
En fait, je n'ai tout simplement pas de compte chez eux... Je clique et là...
Ouah ! On arrive donc sur une invitation à fournir ses codes personnels à l'image de ce qui se fait sur le site de la Caisse d'Epargne par exemple... Bref, un captcha, sensé valider le sérieux du site...
Là, c'est inédit... On assiste avec étonnement et inquiétude à une évolution majeure dans le jeu de l'arnaque en ligne !
Même si le mécanisme ne semble pas fonctionner (heureusement... pour l'instant ?!), on peut voir dans le code source de la page que le piège n'est pas loin d'être parfait...
D'ici quelques jours, la page sera repérée par les robots anti-contrefaçon et disparaîtra d'elle-même...
Exemple 2
Message reçu sur mon compte GMAIL...
Diagnostic
Ici, le message est minimaliste et sa rédaction encore indigente. Et l'erreur signalée "mauvaise données envoyées"... on se demande bien lesquels. Le message "le serveur à rencontré certaines erreurs ne permettant pas de répertorier votre adresse de messagerie" n'a d'ailleurs pas sens... car vous avez bien reçu ce message !
Puis, de remplir les champs du formulaire... Bizarre quand même cette manière de procéder... Des "®" et un numéro béton (n° 31-45688-K8Y116M) pour donner l'illusion de sérieux...
Gmail lui-même - et ses millions de comptes utilisateurs - semble l'objet de convoitise bien comprises... Des objets du message tronqués, tournures inusitées dans le contenu du mail (délaie, systématique, ...), pas d'accord, de conjugaison, de ponctuation régulière... Manifestement une traduction automatique approximative... On se demande bien comment de tels messages peuvent être lancés tel quel... Et par qui ?
Le lien indiqué dans le message mène vers une page suspecte mais non bloquée, pour l'instant, par les filtres anti-phishing de Firefox: http://servfacturnass.fr/ca.php.fr
Bref, tentative de phishing / hameçonnage avérée...
Exemple 3
Message reçu sur mon compte Free...
Date: 13 janvier 2018 03:28:19 HNEC Chère Cliente, cher Client, Après plusieurs tentatives inefficace de vous relier par téléphone nous vous envoyons ce mail pour vous informer qu'une est survenue lors des soustraction En effet le 13 janvier 2011 votre budget à été coupe de la Somme de (89.E uros) A fin de procéder a un Transfert immédiat nous vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute information susceptible d'accélérer cet liquidation. Accédez au formulaire d'amortissement en cliquant sur le lien suivant: (Activer.votre.Compte.P.r.o.fr). Si vous ne souhaitez plus recevoir d'informations commerciales par e-mail |
Diagnostic
Ici, le message est carrément consternant pour qui est amoureux de la langue française : objet du message tronqué, tournures inusitées dans le contenu du mail (relier, soustraction, coupe de la somme...), pas d'accent, de ponctuation régulière... Manifestement une traduction automatique approximative... On se demande bien comment de tels messages peuvent être lancés tel quel... Et par qui ?
Le lien indiqué mène vers une page suspecte mais non bloquée, pour l'instant, par les filtres anti-phishing de Firefox : http://servfacturnass.fr/ca.php.fr
Bref, tentative de phishing / hameçonnage avérée...
Exemple 4
Message reçu sur mon compte Free...
Diagnostic
Ici, le message est manifestement malhonnête : objet du message aberrant (Base De Données Free Est Entrain De), syntaxe hasardeuse du contenu du mail (payements, financierre, cliker...), pas d'accent, de majuscule, conjugaisons fantaisistes... Manifestement une traduction automatique sans relecture... On se demande bien qui se donne la peine de réaliser de tel faux grossier !
D'ailleurs, ici, le lien indiqué mène vers une page d'erreur : http://jupiterlost.com/components/com_agora/img/members/0/Free.fr
Bref, tentative de phishing / hameçonnage avérée...
Exemple 5
Message reçu sur mon compte Free...
Diagnostic
Là, le plus frappant, ce sont les accents (caractère diacritique) qui ont tous sauté, mais cela arrive parfois suivant les différents serveur ayant relayé le message... mais c'est assez rare. Un peine mieux rédigé que le message précédent, l'objet du mail ne trompe pas "Mettre a jour de vos informations !"...
A noter : l'image du logo Orange - France Télécom est appellée par un lien absolu qui ne renvoie pas vers un serveur web d'Orange ("http://www.mypicx.com/uploadimg/1794967823_07262009_1.png"), ce qui bien un indice du caractère fallacieux du message.
Bref, tentative de phishing / hameçonnage avérée...
Exemple 6
Message reçu sur mon compte Free, siglé free...
Diagnostic
Là aussi les accents ont tous disparus... Guère mieux rédigé que le message précédent, l'objet du mail ne trompe pas "Mettre a jour de vos informations confidentielles" presque identique au précédent...
Ici, on s'amuse même à signer le message pour plus de crédibilité...
En savoir plus sur cette fraude : www.universfreebox.com/article/7747/Phishing-Hameconnage-contre-les-Freenautes
Bref, tentative de phishing / hameçonnage avérée...
Exemple 7
Message reçu sur mon compte YAHOO...
Diagnostic
Ici, le site renvoie vers une page inexistante (http://venice-bochum.de/images/smilies/p/info.htm) et le domaine renvoyait vers un site allemand de prêt-à-porter (!).
Bref, une des plus lamentables tentative de phishing / hameçonnage avérée...
Les remèdes
On le voit, tous ces messages sont intentionnellement rédigés pour vous nuire et tenter de vous arnaquer même si, le plus souvent, on remarque rapidement la supercherie car elle est très souvent grossière. Mais il faut parfois aussi avoir un œil plus exercé lors de la mise en œuvre de stratégies plus sophistiquées ! De nombreuses personnes, pas seulement naïves mais le plus souvent inquiètes, se laissent berner par ces message d'autant plus que parfois, les sites vers lesquels renvoient ces liens - même si leur existence est très temporaire - sont bien imités, notamment grâce à la méthode du Spoofing.
Les fabricants de logiciels et de navigateur web ont bien pris conscience du danger de la prolifération de ces menaces qui sont bien réelles et présentent de multiples visages. Des parades existent désormais pour que votre crédulité ne soit pas abusée du premier coup. Des listes de sites frauduleux (comme pour le spam) sont mises en commun et entrent dans les mises à jour normales de sécurité de vos machines/navigateurs comme par exemple pour Firefox, qui reste à la pointe dans ce domaine :
Efficace ! Merci !
ou encore via le nouveau service de Google : Safe Browsing... Ainsi qu'une API dédiée...
Efficace aussi ! Merci !
La sanction
Les prestataires et les gestionnaires des moteurs de recherche tentent évidemment de sécuriser au mieux les informations qu'ils nous délivrent lors de nos recherches et d'autres systèmes d'alertes se mettent peu à peu en place - avec plus ou moins de succès - pour prévenir les mauvaises rencontres sur le net, comme dans cet exemple sur les pages de réponses de Google... Même si dans ce cas ce site est « honnête », le fait qu'il ait été visiblement piraté - ici des injections de publicitsé malveillantes - doit vous inviter à vous méfier si vous souhaitez le visiter...
Alerte Google sur un site suspect...
Phishing : produit gratuit dont le rapport qualité-prix est nul !
Un internaute désabusé...
La réponse des prestataires
En septembre 2015 (enfin !), les opérateurs téléphoniques et fournisseurs d'accès ont bien compris l'ampleur des problèmes susceptibles d'impacter leurs clients... Je mentionne, par exemple, le message de SFR qui me semble pertinent et utile...
De la même manière, les prestataires d'hébergement de site web ont mis en place des procédures d'alerte pour contrer en amont les tentatives de phishing comme par exemple OVH en février 2018 en envoyant un message d'alerte dans la boîte mail des possesseur de compte chez eux... Seul bémol, on regrettera la simple lien d'information sur le page Wikipedia qui reste assez succinct à ce sujet...
En savoir plus :
Le site officiel du gouvernement français (DGCCRF) : « Phishing (hameçonnage ou filoutage) »
Le très bon article de Cyroul, expert en la matière, sur un cas précis en 2018 : Anatomie d'un (ph)fishing à l'Assurance Maladie
L'article Wikipedia sur le « Phishing / Hameçonnage »
La site « apwg.org » (.en)
Le site « Phishing / Hameçonnage »
La site d'infos Signal-Arnaques : Ensemble contre les Arnaques : www.signal-arnaques.com/cat/fraudulent-website
Sur AB Consulting : www.ab-consulting.fr/blog/securite/10-indices-hameconnage
L'article Wikipedia sur « L'usurpation d'adresse IP »
Le guide PayPal sur la fraude et phishing
Un exemple de décision de justice : « Transfert d’un nom de domaine enregistré à des fins d'hameçonnage »