Les dangers de l’hameçonnage ou Phishing

technique du phishing

J'ai ce matin reçu un courriel de ma banque, le Crédit Mutuel, dont le titre était "Coordonnées Personnelles". Dans le message, une explication hasardeuse dans un français approximatif selon lequel ma banque a eu un problème et que je dois m'identifier sur un site donné en lien.

Il s'agit bien sur d'une tentative de phishing ou hameçonnage qui consiste pour un fraudeur à se faire passer pour une tierce personne (ici la banque) pour soutirer des informations personnelles (ici des infos bancaires pour effectuer des virements).

On va voir le détail de la manière dont l'attaque est menée.

1ère Etape: Le courriel:

Voilà le courriel que j'ai reçu, l'expéditeur est NONRESPONSE@CREDITMUTUEL.FR, le nom associé "Crédit Mutuel" et le sujet du message: "Coordonnées personnelles":

Bonjour,

Nous vous informons que nous avons reçu, en date du 13/05/2009,
une tentatives pour accès a votre compte bancaire , et l'utilisation de votre carte de crédit ou de débit
mais nous sommes bloquer votre compte pour vous aider et vous protéger.
et nous avons aussi besoin de vous pour nous aider à vous protéger
pour nous aider à vous protéger et de déverrouiller votre compte, vous devez suivre ces étapes :

1. Munissez vous de votre carte des clé personel
2. Identifier vous ici.
3. Suivez les instruction sur la page

Libellé de l'opération :
4670659

Votre compte a été bloqué . Il continuera à être bloqué tant que ces condition ne sont pas rempli
CAISSE FEDERALE CREDIT MUTUEL FRANCE ET EUROPE

Ceci est un message automatique, merci de ne pas répondre.
***********************************************************************************************
Ce message et toutes les piéces jointes sont confidentiels et établis à l'intention exclusive
de son ou ses destinataires. Si vous avez reçu ce message par erreur, merci d'en avertir
immédiatement l'émetteur et de détruire le message. Toute modification, édition, utilisation ou
diffusion non autorisée est interdite. L'émetteur décline toute responsabilité au titre de ce
message s'il a été modifié, déformé, falsifié, infecté par un virus ou encore édité ou diffusé
sans autorisation.

***********************************************************************************************

Choses importantes à noter:

  • Il est facile pour un pirate d'usurper une adresse de courriel. La provenance d'un courriel (ici noresponse@creditmutuel.fr) ne doit pas être considéré comme un élément de certification de l'origine de l'expéditeur.

  • Le pirate va essayer de faire passer son courriel pour un courriel officiel. Ici on a affaire à quelqu'un de pas spécialement doué. Les phrases n'ont pas de sens, et il n'y a aucune présence de logo ou de visuel de la banque pour renforcer l'usurpation.
  • Le pirate rajoute en fin de page un simuli de charte informatique pour renforcer l'idée de confidentialité et berner au mieu son interlocuteur.

Comme dans toutes les tentatives de phishing, le pirate renvoie vers un lien, on va maintenant s'intéresser à celà.

EDIT: Le lien posté ici ne fonctionne plus, il semblerait que le fraudeur veuille la jouer discret... En attendant on connaît un nom de domaine utilisé par le pirate

2ème Etape: Le site web contrefait:

En cliquant sur le lien de la page, on tombe sur un site qui ressemble à s'y méprendre au site de crédit mutuel comme on peut le voir avec ces 2 images:

le site contrefait

le site contrefait

le vrai site de crédit mutuel

le vrai site de crédit mutuel

Comme on peut le voir, les interfaces sont quasi-identique. Cependant dans notre cas précis on a quelques différences.

  • Tout les liens de la partie centrale ne marchent pas, ils sont juste là pour donner l'illusion
  • Les liens de la partie droite renvoient vers les vraies pages du Crédit Mutuel pour semer le doute.

L'objectif du pirate est alors que la victime s'identifie dans cette fausse page. Il aura ainsi récupérer vos identifiants et pourra se connecter sur le vrai site du crédit mutuel pour effectuer des virements de vos comptes.

La différence importante que l'on voit ici ( et c'est le cas pour toutes les tentatives de phising) se situe dans la barre d'adresse. Le site contrefait pointe vers une adresse obscure: https://www.adrenalfatigue.org/images/cm/index.htm, alors que le site officiel est bien sur www.creditmutuel.fr.

En testant sur le site contrefait jusqu'à ou on va, on arrive facilement à s'identifier avec un compte fictif. A ce moment la on arrive sur une page nous demandant tout les codes de notre carte des clés personnelles (2ème sécurité utilisé par le Crédit Mutuel)

et mon code de carte bancaire aussi non ?

et mon code de carte bancaire aussi non ?

Après validation de cette page (même si on ne remplit rien!), on est automatiquement redirigé ni vu ni connu vers une page du vrai site du crédit mutuel.

Le pirate a alors toutes vos infos, et vous, vous êtes persuadés d'avoir toujours été sur le site du Crédit Mutuel et d'avoir effectué une action normale demandé par votre banque.

Pour ne pas se faire avoir:

Les pirates sont prêt à tout pour vous extorquer des informations, il y a donc certaines règles de bases à respecter pour ne pas se faire avoir:

  • Votre banque ne vous demandera jamais une réinscription ou des demandes d'informations uniquement via courriel

  • Toujours vérifier l'adresse du site sur lequel vous vous rendez. Les différences d'adresses peuvent être minimes: .org au lieu de .fr ou autre

  • Si vous avez vraiment un doute, contactez vous même votre banque par téléphone pour vous assurez qu'il ne s'agit pas d'une tentative de phishing.
  • Ne pas faire confiance uniquement car le mail vient d'une adresse de type @mabanque.fr

A noter également que certains navigateurs ont des filtres anti-hameçonnage qui détectent automatiquement les sites contrefaits.

EDIT: Comme précisé par un lecteur, les navigateurs détectent les sites contrefaits grâce à une liste. Comme pour tout les sytèmes il y a donc toujours un temps de latence entre la mise en ligne d'un site contrefait et son intégration à cette liste et donc sa détection par le navigateur.

Ne faites donc pas confiance aveugle à votre navigateur. Néanmoins l'utilisation du plugin NetCraft pour Firefox constitue une sécurité supplémentaire

D'autre résultats de recherche:

3 thoughts on “Les dangers de l’hameçonnage ou Phishing

  1. Bonjour,
    Votre billet est plutôt très bien fait et résume très simplement et efficacement la tentative de phishing, qui s’étend bien entendu à n’importe quel cas.
    Néanmoins, votre dernière phrase mérite une certaine « retenue » :
    Vous dîtes : « A noter également que certains navigateurs ont des filtres anti-hameçonnage qui détectent automatiquement les sites contrefaits. »
    Ce n’est pas exact. Cette détection est faîte pour les sites qui ont été signalés et reconnus comme sites de phishing par les internautes ou les membres de communautés liées à la sécurité. Ce n’est pas un processus automatique et le temps entre la mise en ligne du site et son signalement peut être assez long. Par ailleurs, je conseille à tous les utilisateurs de Mozilla Firefox de télécharger d’urgence le plugin Netcraft. L’équipe Netcradt est assez réactive en la matière.

  2. Ulf

    Bonjour Philippe,
    Merci pour les encouragements et les approfondissements. Je ne connaissais pas Netcraft

  3. Bonne synthèse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 


*