Navigation

Le « phishing » ou « hameçonnage »

Reconnaître les tentatives de « phishing » ou « hameçonnage »

Le net est une jungle. Comme dans le monde réel, on rencontre parfois des escrocs qui tentent de vous arnaquer avec des moyens plus ou moins subtils. Ces pratiques vont malheureusement tendrent à se multiplier avec l'augmentation du nombre d'internautes. Voici quelques tentatives de tromperie nommée « phishing » (aussi écrit « fishing ») ou « hameçonnage » qui sont relativement reconnaissables avec un peu d'attention et d'habitude... De plus, les Majors du Net ont depuis quelques temps mis en œuvre des outils efficaces et des notifications explicites (et plus ou moins intrusifs...) pour vous alerter dès qu'une menace se présente...

Je ne sors jamais sans mon couteau suisse...

Les menaces de phishing

Le « phishing », c'est quoi ?

Phishing se reproche donc du terme fishing, « pêcher » en anglais, et serait issu du jargon des pirates qui, il y a quelques années, essayaient de prendre possession de comptes AOL par la plus simple des solutions ; récupérer de manière détournée les vrais identifiants et mots passe pour accéder au compte du propriétaire. Le pirate se faisait passer pour un membre de l'équipe technique d'AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte FREE » ou « confirmer vos informations bancaires ». Depuis, le principe est resté le même... Cependant, au fil du temps, à l'image de ce qui se passe dans la nature, les stratégies et les pièges évoluent et se complexifient...

Aujourd'hui, ce sont directement les compte bancaires qui sont visés, il est plus simple de procéder ainsi que d'attaquer physiquement une banque. Il faut bien savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec ses clients...

Le « phishing » a fait plus de 2 millions de victimes en France en 2019

En 2020, le phénomène s'est encore amplifié...

Dixit Le Point : Le « phishing » est un phénomène en pleine expansion : il a fait plus de 2 millions de victimes en France en 2015. Selon Europe 1, qui révèle l'information, les Français ont été cent fois plus nombreux que deux ans auparavant à se faire « hameçonnées ». Le principe est simple : des gens vous expédient de faux mails et se font passer pour votre banque, le fisc ou encore un partenaire commercial. Alors que vous croyez avoir affaire à vos interlocuteurs habituels, vous livrez les informations qu'on vous demande : nom, prénom, adresse, état civil ou pire, vos codes bancaires. Toutes ces données sont immédiatement réutilisées... Même si ce chiffre me parait excessif, il n'en demeure pas moins massif et de plus en plus dangereux. Vous devez le savoir si vous avez une boite mail...

Lire l'article du Point...

Deux méthodes sont utilisées :

  • Reconstitution d'un email paraissant honnête pour vous faire croire que c'est la société officielle (banque, organisme de crédit, provider...) qui vous contacte le plus souvent pour signaler un incident sur ses serveurs et vous invitant à rentrer dans un espace réservé pour livrer des informations confidentielles. Les pirates vont jusqu'à insérer de vrais logos et de vrais liens dans le mail (cf. ci-dessous) et surtout réalise un site internet quasiment identique à l'original qui peuvent donc vous leurrer...
  • Utilisation des failles de votre navigateur. Vous êtes redirigé sur une page dont l'adresse n'est pas celle affichée dans la barre du navigateur. Par exemple, il y a quelques années déjà, cela pouvait arriver sur Internet Explorer dont la faille n'a été corrigée qu'en 2004 ! Depuis, les méthodes se sont affinées et les mises en scène plus sophistiquées...
  • Création d'un environnement (page de site où mène le lien cliqué) bien imité et rassurant pour la cible, et l'inviter à faire ce qu'on lui demande comme ici...

Voici quelques exemples des messages électroniques qui sont en réalité des tentatives de récupération de vos données personnelles non justifiées, autrement dit du « phishing » ou hameçonnage.

Dernier exemple de tentative de phishing...

Là, ce sont les impôts de 2018...

La célèbre arnaque au remboursement des impôts...

Là, il n'y a pas de commentaire à faire : seulement le petit frisson à la réception d'un mail du service des impôts...

Relativement "propre", les quelques erreurs de syntaxe et d'accords sautent aux yeux si l'on en a une lecture un peu attentive. Le lien, lui, renvoie vers un site nettement contrefait... Poubelle direct !

Puis, un autre... plus sérieux !

La nouvelle arnaque de phishing en provenance d'OVH...

Quand on a un site web et que l'hébergeur - ici OVH - vous informe que votre site à été suspendu car vous n'avez pas payé la facture, on flippe !

Evidemment, le site marche toujours, mais peut-être va-t-il vraiment être suspendu dans les minutes qui suivent... Fredo, le propriétaire et gestionnaire du site reçoit le mail d'alerte et s'en inquiète bien évidemment et me prévient ! Dans ce cas là, puisque j'ai la main sur cet hébergement, le panneau d'administration ne me dit rien de particulier sauf que le domaine arrive à expiration... dans 2 mois... Et l'hébergement du site est chez Ionos... Rien à voir donc !

Je regarde de plus près et en conclus bien à la tentative de phishing... OVH et z Ionos préviennent bien les administrateurs des sites mais, dans ce cas, je suis moi-même bluffé par ce mail !

Bref : c'est la guerre !

Exemple 1

Message reçu sur mon compte Free...

Mail 01

Date : 2 avril 2020
De : Banque Postale <>
À : Erwan Corre
Objet : Avis

Votre compte est sur le point d'expirer!

Pour rester actif, cliquez s'il vous plaît sur la liaison ci-dessous et suivez les étapes fournis:

http://www.lbp-fr.net/connexion

Message laconique et relativement bien écrit mais qui semble suspect... même si l'adresse et le lien à cliquer semblent corrects...

En fait, je n'ai tout simplement pas de compte chez eux... Je clique et là...

Tentative de phishing avec mécanisme de captcha évolué

Ouah ! On arrive donc sur une invitation à fournir ses codes personnels à l'image de ce qui se fait sur le site de la Caisse d'Epargne par exemple... Bref, un captcha, sensé valider le sérieux du site...

Là, c'est inédit... On assiste avec étonnement et inquiétude à une évolution majeure dans le jeu de l'arnaque en ligne !

Même si le mécanisme ne semble pas fonctionner (heureusement... pour l'instant ?!), on peut voir dans le code source de la page que le piège n'est pas loin d'être parfait...

D'ici quelques jours, la page sera repérée par les robots anti-contrefaçon et disparaîtra d'elle-même...

Exemple 2

Message reçu sur mon compte GMAIL...

Alerte de phishing sur Google, compte Gmail

Date : 2 novembre 2017 03:06:38 HNEC
De :
À :
Objet : Alerte-Sécurisé Vérification de Votre Comptes Gmail (n° 31-45688-K8Y116M)

L\'ÉQUIPE GMAIL!®

Suite au message envoyé à l\'équipe GMAIL®, le serveur à rencontré certaines erreurs ne permettant pas de répertorier votre adresse de messagerie.

-Erreur (31-45688-K8Y116M) * mauvaise données envoyées .

Veuillez dans un délaie de 72h renvoyer les informations correct, faute de quoi vous verrez la
fermeture systématique de votre adresse de messagerie.
Remplir a nouveau et correctement les champs ci-dessous :

Adresse de messagerie Gmail :....................................................
Mot de passe :...................................................................
Nom et Prénom: ..................................................................
Adresse de messagerie secours :..................................................
Téléphone.........................................................................
Veuillez considérer ce message comme étant le dernier avertissement avant la fermeture de votre
messagerie GMAIL®.

L\'équipe Gmail®
Service Clientèle.

Diagnostic

Ici, le message est minimaliste et sa rédaction encore indigente. Et l'erreur signalée "mauvaise données envoyées"... on se demande bien lesquels. Le message "le serveur à rencontré certaines erreurs ne permettant pas de répertorier votre adresse de messagerie" n'a d'ailleurs pas sens... car vous avez bien reçu ce message !

Puis, de remplir les champs du formulaire... Bizarre quand même cette manière de procéder... Des "®" et un numéro béton (n° 31-45688-K8Y116M) pour donner l'illusion de sérieux...

Gmail lui-même - et ses millions de comptes utilisateurs - semble l'objet de convoitise bien comprises... Des objets du message tronqués, tournures inusitées dans le contenu du mail (délaie, systématique, ...), pas d'accord, de conjugaison, de ponctuation régulière... Manifestement une traduction automatique approximative... On se demande bien comment de tels messages peuvent être lancés tel quel... Et par qui ?

Le lien indiqué dans le message mène vers une page suspecte mais non bloquée, pour l'instant, par les filtres anti-phishing de Firefox: http://servfacturnass.fr/ca.php.fr

Bref, tentative de phishing / hameçonnage avérée...

Exemple 3

Message reçu sur mon compte Free...

Date: 13 janvier 2018 03:28:19 HNEC
De:
À:
Objet: Derniere aven

Logo Free Phishing


Chère Cliente, cher Client,

Après plusieurs tentatives inefficace de vous relier par téléphone nous vous envoyons ce mail pour vous informer qu'une est survenue lors des soustraction

En effet le 13 janvier 2011 votre budget à été coupe de la Somme de (89.E uros)

A fin de procéder a un Transfert immédiat nous vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute information susceptible d'accélérer cet liquidation.

Accédez au formulaire d'amortissement en cliquant sur le lien suivant:

(Activer.votre.Compte.P.r.o.fr).

Si vous ne souhaitez plus recevoir d'informations commerciales par e-mail

Diagnostic

Ici, le message est carrément consternant pour qui est amoureux de la langue française : objet du message tronqué, tournures inusitées dans le contenu du mail (relier, soustraction, coupe de la somme...), pas d'accent, de ponctuation régulière... Manifestement une traduction automatique approximative... On se demande bien comment de tels messages peuvent être lancés tel quel... Et par qui ?

Le lien indiqué mène vers une page suspecte mais non bloquée, pour l'instant, par les filtres anti-phishing de Firefox : http://servfacturnass.fr/ca.php.fr

Bref, tentative de phishing / hameçonnage avérée...

Exemple 4

Message reçu sur mon compte Free...

Date: Sat, 15 Aug 2016 18:54:08 +0200 (CEST)
De:
À:
Objet: Base De Données Free Est Entrain De
1 unnamed text/html 1,03 KB Téléchargement

Logo Free Phishing

Cher (e) client(e) :

en date du 12 aout 2009 nos logiciels de payements ont effectuer une fausse transaction financierre entrainant alors le double prelevement de fond sur votre compte en vue de reparer cette mal adresse de notre part nous vous prions de bien vouloir cliker sur le lien si dessous et de nous transmettre certaines information relative au renboursement . bien entendu nous vous prionz de nous excuser pour ce derangement et en espere que free comble toutes vos attente

Cliquez ici pour fournir les informations.

Diagnostic

Ici, le message est manifestement malhonnête : objet du message aberrant (Base De Données Free Est Entrain De), syntaxe hasardeuse du contenu du mail (payements, financierre, cliker...), pas d'accent, de majuscule, conjugaisons fantaisistes... Manifestement une traduction automatique sans relecture... On se demande bien qui se donne la peine de réaliser de tel faux grossier !

D'ailleurs, ici, le lien indiqué mène vers une page d'erreur : http://jupiterlost.com/components/com_agora/img/members/0/Free.fr

Bref, tentative de phishing / hameçonnage avérée...

Exemple 5

Message reçu sur mon compte Free...

Date: 15 Aug 2017 02:49:59 -0000
De: Orange Internet <>
À:
Objet: Mettre a jour de vos informations !
1 unnamed text/html 1,96 KB Téléchargement

Logo France Telecom Phishing

Cher(re) utilisateur Orange,

Pendant une procdure automatique rgulire de vrification, nous avons rencontr un problme technique
provoqu par le fait que nous ne pourrions pas vrifier les informations que vous avez fourni pendant l'enregistrement
a Nous vous demandons de soumettre les informations ncessaires pour que nous puissions verifier votre identit,
autrement votre accs aux services Orange et Wanadoo sera temporairement bloqu jusqu' ce que vous passiez
le procd de vrification..

NUMRO DE REFRENCE : FR3570#99-21

>>>> Cliquez ici pour Mise jour de vos informations! <<<< .

Une page d'identification s'ouvrira, vous permettant de verifier vos informations personelles. Une fois que vous avez mis jour votre compte, votre session Orange ne sera pas interrompue et continuera normalement. Le manque de mettre jour de vos dtails d'identification aura comme consquence l'annulation du service.
=
L'équipe Orange ,Departement de revue des comptes !
Service Orange Internet
Orange.fr

Diagnostic

Là, le plus frappant, ce sont les accents (caractère diacritique) qui ont tous sauté, mais cela arrive parfois suivant les différents serveur ayant relayé le message... mais c'est assez rare. Un peine mieux rédigé que le message précédent, l'objet du mail ne trompe pas "Mettre a jour de vos informations !"...

A noter : l'image du logo Orange - France Télécom est appellée par un lien absolu qui ne renvoie pas vers un serveur web d'Orange ("http://www.mypicx.com/uploadimg/1794967823_07262009_1.png"), ce qui bien un indice du caractère fallacieux du message.

Bref, tentative de phishing / hameçonnage avérée...

Exemple 6

Message reçu sur mon compte Free, siglé free...

De : "" <>
Date : 10 avril 2017 07:51:08 HAEC
À:
Objet : Mettre a jour vos informations confidentielles
Répondre à :

Free adsl, On regarde toujours en avant pour la haute securite de nos clients

Cher membre Free adsl,

attention ! Tentative d'intrusion dans votre compte Free adsl!
Quelqu'un avec le IP address 149.225.126.87 a essaye d'acceder a votre compte personnel! Nous vous prions de bien vouloir vous connecter a votre compte Free adsl Et mettre a jour vos informations confidentielles ! Vous avec un delai de 24h pour retablir l? acces a votre compte sans ceux Ce dernier sera definitivement supprime !

acceder a Votre Compte

Vous pouvez egalement confirmer votre adresse email en vous connectant a votre compte Free adsl a l'adresse suivante : http://www.free.admin.fr/

*Important*
Nous avons demande quelques renseignements complementaires, ce qui va etre le cadre de processus d'ouverture de session securise. Ces informations complementaires seront posees lors de votre connexion avenir pour la securite, s'il vous plait fournir toutes les informations sur ces completement et correctement autrement pour des raisons de securite ,nous devons fermer votre compte temporairement.

Nous vous remercions de votre prompte attention a cette question.
S'il vous plait comprendre que cela est une mesure de securite destinee a vous aider et de proteger votre compte. Nous nous excusons pour tout inconvenient.

Raphael FaURE - Service Free adsl Internet

Diagnostic

Là aussi les accents ont tous disparus... Guère mieux rédigé que le message précédent, l'objet du mail ne trompe pas "Mettre a jour de vos informations confidentielles" presque identique au précédent...

Ici, on s'amuse même à signer le message pour plus de crédibilité...

En savoir plus sur cette fraude : www.universfreebox.com/article/7747/Phishing-Hameconnage-contre-les-Freenautes

Bref, tentative de phishing / hameçonnage avérée...

Exemple 7

Message reçu sur mon compte YAHOO...

Date: Sun, 9 Aug 2016 14:04:54 +0200
De: Compte internet <>
À:
Répondre à:
Objet: Vos Coordonnées Personnelles
2 unnamed text/html 1,69 KB Téléchargement


Cher (e) client (e) :

Ce Mail Vous est envoye suite a une situation d�urgence.
Une defaillance technique au niveau de l�un de nos logiciels gerant les comptes clienteles a eu pour effet la suppression des donnees relatives aux dossiers de certains de nos abonnees. La consequence directe en a ete la desactivation des services fournis (Adsl, telephonie, messagerie electronique...)
Dans la crainte que le probleme ne se propage au reste de notre clientele, vous �tes appele a fournir des informations necessaires a la mise a jour de votre dossier. Pour vous eviter la suppression de nos services suscites, vous devez imperativement repondre a ce mail en cliquant sur le lien ci-dessous et fournir quelques renseignements dont un numero de telephone joignable a fin que notre service client puisse vous contacter des reception de votre dossier. Nous vous prions de nous excuser pour le desagrement cause par cet incident.

Cliquez ici Pour etablir votre dossier

Nb : � Une negligence de ce mail entra�nerait pour vous une suppression des services fournis a l�egard de laquelle orange decline toute responsabilite.
mail 03

Diagnostic

Ici, le site renvoie vers une page inexistante (http://venice-bochum.de/images/smilies/p/info.htm) et le domaine renvoyait vers un site allemand de prêt-à-porter (!).

Bref, une des plus lamentables tentative de phishing / hameçonnage avérée...

Les remèdes

On le voit, tous ces messages sont intentionnellement rédigés pour vous nuire et tenter de vous arnaquer même si, le plus souvent, on remarque rapidement la supercherie car elle est très souvent grossière. Mais il faut parfois aussi avoir un œil plus exercé lors de la mise en œuvre de stratégies plus sophistiquées ! De nombreuses personnes, pas seulement naïves mais le plus souvent inquiètes, se laissent berner par ces message d'autant plus que parfois, les sites vers lesquels renvoient ces liens - même si leur existence est très temporaire - sont bien imités, notamment grâce à la méthode du Spoofing.

Les fabricants de logiciels et de navigateur web ont bien pris conscience du danger de la prolifération de ces menaces qui sont bien réelles et présentent de multiples visages. Des parades existent désormais pour que votre crédulité ne soit pas abusée du premier coup. Des listes de sites frauduleux (comme pour le spam) sont mises en commun et entrent dans les mises à jour normales de sécurité de vos machines/navigateurs comme par exemple pour Firefox, qui reste à la pointe dans ce domaine :

Firefox : message d'alerte de tentative de phishing : Efficace ! Merci

Efficace ! Merci !

ou encore via le nouveau service de Google : Safe Browsing... Ainsi qu'une API dédiée...

Google Safe Browsing : message d'alerte de tentative de phishing

Efficace aussi ! Merci !

La sanction

Les prestataires et les gestionnaires des moteurs de recherche tentent évidemment de sécuriser au mieux les informations qu'ils nous délivrent lors de nos recherches et d'autres systèmes d'alertes se mettent peu à peu en place - avec plus ou moins de succès - pour prévenir les mauvaises rencontres sur le net, comme dans cet exemple sur les pages de réponses de Google... Même si dans ce cas ce site est « honnête », le fait qu'il ait été visiblement piraté - ici des injections de publicitsé malveillantes - doit vous inviter à vous méfier si vous souhaitez le visiter...

Autre exemple de site suspect qui a été détecté par Google

Alerte Google sur un site suspect...

Phishing : produit gratuit dont le rapport qualité-prix est nul !

Un internaute désabusé...

La réponse des prestataires

En septembre 2015 (enfin !), les opérateurs téléphoniques et fournisseurs d'accès ont bien compris l'ampleur des problèmes susceptibles d'impacter leurs clients... Je mentionne, par exemple, le message de SFR qui me semble pertinent et utile...

Alerte phishing : le message de SFR

De la même manière, les prestataires d'hébergement de site web ont mis en place des procédures d'alerte pour contrer en amont les tentatives de phishing comme par exemple OVH en février 2018 en envoyant un message d'alerte dans la boîte mail des possesseur de compte chez eux... Seul bémol, on regrettera la simple lien d'information sur le page Wikipedia qui reste assez succinct à ce sujet...

Alerte phishing : le message d'OVH

En savoir plus :

Le site officiel du gouvernement français (DGCCRF) : « Phishing (hameçonnage ou filoutage) »
Le très bon article de Cyroul, expert en la matière, sur un cas précis en 2018 : Anatomie d'un (ph)fishing à l'Assurance Maladie
L'article Wikipedia sur le « Phishing / Hameçonnage »
La site « apwg.org » (.en)
Le site « Phishing / Hameçonnage »
La site d'infos Signal-Arnaques : Ensemble contre les Arnaques : www.signal-arnaques.com/cat/fraudulent-website
Sur AB Consulting : www.ab-consulting.fr/blog/securite/10-indices-hameconnage
L'article Wikipedia sur « L'usurpation d'adresse IP »
Le guide PayPal sur la fraude et phishing
Un exemple de décision de justice : « Transfert d’un nom de domaine enregistré à des fins d'hameçonnage »

 En savoir plus... erwan-corre.com - Copyright © 2007-2024

En poursuivant votre navigation sur le site, vous acceptez l'utilisation des cookies...

En savoir plus...