phishing
Lien court vers cette page : https://vt.cx/cq1 QR code vers cette page : https://vt.cx/cq1.qr
Sommaire
Lexique
- hameçonnage : version française de phishing
- phishing : hameçonnage en anglais
- scam : escroquerie en anglais
- spoofing : affichage d'une autre adresse email que celle réellement utilisée pour tromper le destinataire sur l'origine d'un mail
Présentation
Le phishing ou hameçonnage consiste à tromper un usager de plusieurs manières différentes. Deux méthodes, souvent utilisées en conjonction :
- email : spoof un email officiel d'une structure connue (entreprise, administration, ONG) pour tenter d'amener à cliquer sur un lien menant à un site dangereux
- site : infecté par un malware ou simulant un formulaire d'entrée dans le but de voler des identifiants
Les structures utilisées par les fraudeurs sont nombreuses et variées mais certaines reviennent plus fréquemment comme :
- Banques françaises et étrangères dont PayPal, Visa, Amex, Mastercard, La Banque postale, BNP Paribas, Crédit Agricole,...
- Organismes publics dont EDF, Trésor Public, CAF, CPAM,...
- Sociétés privées dont Amazon, eBay, Free, SFR, Orange, La Poste, DHL, UPS, Chronopost, ...
- Proche ou relation de travail dont le compte mail a été piraté.
D'une manière générale les emails sont structurés comme suit :
- Objet : Alerte inquiétante.
- Corps du mail :
Absence d'éléments de personnalisation prouvant que le destinataire est client (nom, prénom, tél., adresse ou n° client).
Signalement d'une anomalie souvent rédigé dans un style ampoulé et assez peu naturel avec une syntaxe et une orthographe approximatives et un lien direct pour régler le problème.
Le lien est la partie problématique du phishing car il ne renvoie pas sur ce qu'il indique mais sur un site tiers qui affiche un écran copiant le site de celui qu'il prétend représenter.
Les méthodes pour envoyer sur une site qui n'est pas celui que l'on croit sont connues :
- Lien HTML différent de celui affiché (visible en éditant le source du mail)
- Lien HTML avec des caractères ressemblants à ceux du domaine copié exemple : volksvvagen.com (où le w est remplacé par deux v)
- Lien HTML dérivé de celui du domaine copié exemple : bnp-contentieux-urgent.com
Procédure
D'une manière générale, les organismes et entreprises mentionnées plus haut sont nombreux à ne plus inviter leurs clients à cliquer sur un lien pour régler un problème et se contentent d'informer le destinataire qu'il doit se connecter à son service client pour gérer le point mentionné dans l'email. Sur de nombreuses messageries comme Gmail, Hotmail, Yahoo!, les phishings, une fois détectés sont filtrés et n'arrivent jamais à leurs destinataires.
Que faire en cas de phishing notoire ?
- Regarder le source de l'email pour isoler les liens impliqués
- Informer rapidement le webmaster de la structure imitée dans l'email
- Informer rapidement le service abuse de la messagerie utilisée
- Isoler l'email dans un dossier bien identifié pour éviter de le confondre
- En informer les sites ci-dessous qui luttent directement contre le phishing :
Google.com en cliquant sur le lien suspect dans l'email et en choisissant Signaler courrier frauduleux (sous Firefox) ou en utilisant le lien : https://safebrowsing.google.com/safebrowsing/report_error/?tpl=mozilla&hl=fr
OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication) à https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
Phishing Initiative : Un service à l'initiative de Paypal, Microsoft et Lexsi afin de bloquer les sites de Phisheurs dans les navigateurs des participants inscrits. https://phishing-initiative.fr/contrib/
Signal Spam (organisme paritaire) nécessitant une inscription préalable à tout signalement à https://www.signal-spam.fr
American Express : spoof@americanexpress.com Bank of America : abuse@bankofamerica.com La Banque Postale : alertespam@labanquepostale.fr Barclays : internetsecurity@barclays.co.uk BRED : webmaster@bred.fr CIC : phishing@cic.fr Crédit Mutuel : phishing@creditmutuel.fr EDF : message-frauduleux@edf.fr Mastercard : stopit@mastercard.com SFR : emailsuspect@sfr.com UBS : internetsecurity@ubs.com Visa : phishing@visa.com
Nota bene : inutile de mettre le (Brigade d'enquêtes sur les fraudes aux technologies de l'information) dans la boucle car celle-ci ne traite pas les escroqueries sur Internet.
Liens utiles
Signalement Police et opérateurs téléphoniques
- internet-signalement.gouv.fr Portail officiel de signalement des contenus illicites sur Internet
- phishing-initiative.fr Dites non au phishing
- assistance.orange.fr Signalement Orange
- assistance.sfr.fr Signalement SFR
Alertes Phishing : Administrations, assurances, banques, opérateurs téléphoniques
- Allianz
- American Express
- Axa Banque
- Banque Populaire
- La Banque Postale
- BNP Parisbas
- Boursorama
- Bouygues Telecom
- BRED
- CAF (PDF)
- CIC
- Crédit Agricole
- Crédit Mutuel
- DGCCRF
- DHL
- EDF
- engie
- Fortuneo
- Free
- Groupama
- Impôts
- ING Direct
- Matmut
- Mastercard
- MSA
- Orange
- Paypal
- SFR
- Société Générale
- UBS
- Visa
- Liste des phishings plagiant SFR
Alertes Phishing
- police-nationale.interieur.gouv.fr Déclaration d'impôts, faîtes attention au phishing
Liens utiles
- phishing-initiative.fr Phishing Initiative : une plateforme contre le phishing
- signal-arnaques.com Signal Arnaques : base de données de mails de phishing et d'arnaque
- phishingquiz.mcafee.com Quizz phishing : un jeu pour tester ses capacités de repérage des phishings
Articles externes - Français
- Legalis - 24/05/18 Phishing : absence de preuve de la fraude du client
- Next Inpact - 20/04/18 Phishing : négligent, un client d'une banque doit assumer les prélèvements frauduleux
- Que Choisir - 16/02/18 Phishing L'arnaque passe aussi par la carte SIM !
- cnet - 13/11/17 Phishing : la technique de piratage est toujours aussi efficace d'après Google
- Que Choisir - 12/11/17 Phishing En cas de négligence avérée, la banque ne rembourse pas
- GNT - 20/04/17 Gare aux campagnes de phishing de plus en plus évoluées
- SOS Conso - 24/01/17 Le Crédit mutuel condamné pour refus de rembourser le phishing
- Next Inpact - 19/01/17 Pour la Cour de cassation, c’est à la banque de prouver une arnaque par phishing
- GNT - 27/10/16 Piratage de comptes iCloud et Gmail : 18 mois de prison pour du phishing
- Korben - 14/06/16 Vol de portable + tentative de phishing – Le combo gagnant pour revendre des iPhones volés ?
- ITespresso - 25/01/16 Le phishing continue de prospérer en France
- Le Parisien - 21/05/15 Des pirates informatiques s'attaquent aux clients de Deezer
- Clubic - 30/03/15 Un prisonnier britannique monte une opération de phishing pour s'évader de prison
- SOS Conso - 30/01/15 Phishing : faut-il attaquer l'opérateur téléphonique ou la banque ?
- SOS Conso 06/11/14 Phishing : pas si fiables, les systèmes de sécurité des banques !
- Capital - 17/05/13 La paranoïa, méthode favorite des experts en cybersécurité
Articles externes - Anglais
- Tech Xplore - 30/07/19 Tech companies not doing enough to protect users from phishing scams
- Hackaday - 19/04/17 You Think you Can't be Phished?
- eTeknix - 22/03/16 LinkedIn now considered front door phishing attacks
- ComputerWorld - 25/02/16 Report: 2016 phishing trends reveal new tricks, targets
- InfoWorld - 22/01/16 Phish the phishers: A researcher turns the tables on scammers
- engadget - 08/11/14 Google says the best phishing scams have a 45-percent success rate
- TweakTown - 14/05/14 New phishing scam targets Google users, tries to steal passwords
Articles Vulgum Techus
- arnaque au président
- spoofing
- Tout sur les mots de passe
- Liste des mails abuse des FAI et hébergeurs
- Liste de phishings en circulation
- DKIM
- DMARC
- DNS
- spam
- OpenSSL