You are currently viewing Détecter et se protéger du Phishing

Détecter et se protéger du Phishing

  • Post category:Sécurité
  • Post comments:0 commentaire
  • Temps de lecture :35 min de lecture

Ahhhh ! Le Phishing (ou hameçonnage en français), nouveau fléau des temps modernes ! Arnaque facile qui parvient à piéger chaque jour des milliers de personnes, soit mal informées, soit trop crédules, soit les deux … Bref, des gens comme vous et moi qui sont victimes de ces petits messages reçus par mail ou par SMS et qui ont un seul but : voler argent et identité…

Peut-être que vous ne vous sentez pas concerné par ce problème ? Si c’est effectivement le cas, c’est parfait et vous êtes sans doute une personne bien informée. Mais dans le cas contraire, je vous invite à lire la suite de cet article 😉

Récemment, le site Zataz.com a dévoilé le résultat d’une étude sur le comportement des français face aux tentatives d’arnaques, et les résultats de cette études sont éloquents :

1 français sur 2 n’ouvre pas les messages suspects (offre attractive, remboursement bizarroïde, pseudo message de la banque, etc.). Donc, 1 français sur 2 l’ouvre et même parfois le transmet, piégeant au passage d’autres personnes qui n’avaient rien demandé…  

Les jeunes sont ceux qui prennent le plus de risques. 73% des 18-24 ans ouvrent et / ou transmettent ces messages.

Alors, pour bien combattre son ennemi, il faut d’abord bien le connaître : alors c’est quoi le phishing ?

Le phishing, définition

C’est une attaque informatique (on peut dire aussi une “cyber attaque” pour briller en société) qui consiste à envoyer des messages par mail, texto ou téléphone en se faisant passer pour une société, une institution ou une administration que vous connaissez.

Le but ? Il est très simple. En usurpant l’identité d’un site auquel vous faites confiance, le pirate va vous inciter à donner des informations personnelles : mots de passe, n° de comptes bancaires, adresse mail, etc. 

Auparavant, il était assez simple de détecter ces faux messages car ils étaient le plus souvent créés à l’étranger et étaient bourrés de fautes d’orthographe. Mais dorénavant la donne à changé. Ces messages sont de mieux en mieux réalisés et parfois, il faut vraiment être très très attentif pour s’apercevoir que c’est une arnaque. 

Ainsi, vous allez recevoir un mail de votre banque qui vous dit que votre numéro de téléphone est mal renseigné, ou un SMS de NetFlix qui vous dit que votre paiement vient d’être refusé ou encore, qu’un énigmatique paquet est bloqué quelque part et que vous devez décliner votre identité pour le récupérer… 

Vous cliquez sur un lien, et là, vous arrivez sur une page qui ressemble à s’y méprendre au site original. Vous rentrez vos identifiants… et vous êtes tombé dans le piège !

Les exemples ne manquent pas et la seule limite est l’imagination des arnaqueurs et leurs armes favorites sont :  la peur, l’appât du gain et la crédulité.

Ne vous méprenez pas : c’est une réelle menace. Des milliers de personnes tombent dans le panneau tous les jours, à commencer par les plus anciens d’entre nous, les séniors, qui se font facilement abuser. Toutes les classes d’âges peuvent cependant tomber dans le piège. 

D’une manière générale, toutes les personnes qui ne sont pas sensibilisées à la sécurité sur Internet sont aussi des victimes potentielles : le clic fatal est vite arrivé et si on ajoute un soupçon de crédulité, le piège se referme et peut avoir des conséquences très importantes. 

Alors, maintenant que je vous ai bien fait peur, on va pouvoir aborder le premier sujet de ce dossier : comment reconnaître un mail de phishing ?

Comment reconnaître une tentative de hameçonnage ?

La première chose que j’ai envie de vous dire, c’est de faire preuve de bon sens en tout temps.

Le filtre anti SPAM

Si votre messagerie vous indique que le message est un spam, c’est probablement le cas. Dans 99,9% des cas vous pouvez le jeter et passer à autre chose. Même s’il arrive parfois que le filtre se trompe et classe un message honnête dans les spams.

Attention cependant si vous avez créé des règles qui outrepassent le filtre. Par exemple, dans cette image, GMail m’informe que ce mail n’a pas été classé dans les spams en raison d’un filtre que j’ai créé.

Le filtre anti-spam, la première barrière

L’expéditeur inconnu

C’est la première chose à vérifier. Qui vous envoie le message. Si c’est un inconnu, votre jauge de méfiance doit immédiatement monter à 100%. 

Et si le message semble provenir d’une source connue, il reste à vérifier les points qui suivent.

Le truc trop beau pour être vrai

Vous venez de gagner un iPhone dernier cri ! Vous avez gagné une somme d’argent ! Vous avez gagné un concours auquel vous n’étiez pas inscrit !

Le plus souvent, si ça paraît trop beau pour être vrai, c’est probablement que c’est faux ! L’argent, les iPhones et les cadeaux somptueux, ça ne tombe pas des arbres et si quelqu’un vous propose de vous offrir un cadeau comme ça, même si on aimerait que ce soit vrai, ça doit immédiatement éveiller votre méfiance.

Si vous recevez un mail ou un SMS qui vous promet ce genre de cadeau et qui vous demande de cliquer sur un lien pour l’obtenir, c’est directement à la poubelle. Dans 99,9% des cas (et j’ai même envie de dire 100%), c’est une arnaque.

Le sentiment d’urgence

Si le contenu du mail ou du SMS vous demande d’agir en urgence, là aussi, ça doit éveiller votre méfiance. Par exemple, vous recevez un SMS ou un mail de (soit-disant) Netflix qui vous demande de mettre à jour vos informations tout-de-suite-maintenant sinon votre compte va être suspendu. 

Et il y a un lien qui vous demande de cliquer en urgence parce que sinon, vous perdrez votre accès. 

Si vous me permettez cette expression triviale : ça pue.

Ne cliquez pas sur le lien ! Rendez-vous sur votre compte NetFlix directement depuis votre navigateur habituel, et oh miracle, vous constaterez que de problème, il n’y a point.

D’une manière générale, là encore, le bon sens doit primer. 

Les liens Hypertexte

Avant de cliquer sur un lien, il est important de toujours vérifier ce lien. En effet, un lien peut facilement être déguisé et ne pas du tout vous emmener à l’endroit prévu. Pour détecter un faux lien, placez votre curseur sur le lien sans cliquer, et regardez dans la barre d’état de votre navigateur. La véritable destination apparaît. Prenons ce lien vers le site du crédit agricole qui va vous diriger en réalité vers mon site internet :

https://www.credit-agricole.fr/

Un lien peut en cacher un autre

Là encore, il faut être attentif car parfois le déguisement est très efficace. Dans l’exemple ci-dessus, c’est assez simple à voir car l’adresse de destination n’est pas du tout la même que l’adresse qui apparaît dans le lien.

Mais parfois la différence est assez subtile. Un caractère qui change, un caractère qui manque, et le lien peut facilement passer inaperçu.

Par exemple, https://www.credit-agricole.fr/ n’est pas la même chose que https://www.credit-agricole.fr/

Les deux liens sont identiques, mais regardez la destination, une petite différence subtile fera que vous n’arriverez pas au bon endroit dans le deuxième cas.

Il existe quelques outils sur Internet pour analyser les liens bizarroïdes mais attention, ils ne sont pas infaillibles. Si le lien frauduleux que vous testez est récent, il n’est peut-être pas encore détecté ou signalé. Votre jugement reste la meilleure parade.

Je vous présente cependant deux sites intéressants :

https://www.shouldiclick.org/ est un site qui tentera de vous aider pour savoir si oui ou non vous pouvez cliquer sur un lien.

Par exemple, ce lien que j’ai reçu par SMS est immédiatement détecté comme frauduleux. À gauche, une miniature du site de destination, et à droite l’analyse. 95% de chance pour que ce soit un Evil Twin (un jumeau maléfique), c’est-à-dire, un site qui tente de se faire passer pour un autre.

Cliquer ou ne pas cliquer, telle est la question…

Le site de VIRUSTOTAL permet aussi d’analyser des liens.

Ici, le site est signalé comme Spam, et malicieux. Fuyons !

Ok, demi-tour

Les pièces jointes

Ce qui suit est valable, quel que soit le message que vous recevez. Si vous ne connaissez pas l’expéditeur, si le message éveille votre méfiance, s’ il y a un truc louche, ne cliquez jamais sur la pièce jointe. 

Les fichiers adressés en pièce jointe peuvent contenir des logiciels malveillants ou des virus informatiques. Les conséquences peuvent être lourdes après avoir cliqué sur une pièce jointe vérolée : vous pouvez être victime d’un rançongiciel qui va bloquer votre ordinateur tant que vous n’aurez pas payer la somme demandé, vous pouvez attraper un virus dont les conséquences sont aussi variées que le nombre de virus lui-même, etc.

C’est quoi une URL ? le B.A.Ba pour se protéger

Déjà, ça veut dire quoi URL ?

En anglais :  Uniform Resource Locator — Il n’y a pas vraiment de traduction française mais je pense que ce qui s’en rapprocherait le plus c’est : localisateur universel de ressource.

En gros, c’est ce qui permet de retrouver quelque chose sur Internet…

Pour expliquer ça simplement, prenons cette URL : 

La première partie c’est le protocole. C’est ici qu’on va chercher le fameux https. Le protocole est systématiquement suivi de deux points et de deux barres obliques. ://

La seconde partie est le sous-domaine (ici, www). Tous les sites Internet peuvent avoir ce sous-domaine générique (www), il ne sert plus à grand-chose et dans la plupart des cas, il n’est plus obligatoire.  Mais vous verrez un peu plus loin que l’on peut avoir une multitude de sous-domaines. Le sous domaine est toujours séparé du domaine par un point (.).

La troisième partie c’est le domaine (ici, kitcreanet.fr).

La quatrième partie, c’est le chemin vers la ressources, la page, le fichier, etc.

Ce qui nous intéresse c’est tout ce qui se trouve entre https:// et la première barre oblique (/), tout ce qui se trouve entre la partie 1 et la partie 4.

Le domaine, c’est le nom que je donne a  “ma maison”. Ma maison à moi s’appelle kitcreanet.fr.

Le sous-domaine, disons que c’est une pièce de ma maison.

Si je vous emmène sur https://kitcreanet.fr/, vous êtes chez moi, pas de souci. Si vous allez sur https://www.kitcreanet.fr/ vous êtes aussi chez moi mais dans une pièce qui s’appelle www.

Si je vous emmène vers, https://archives.kitcreanet.fr/, vous êtes toujours chez moi, sauf que vous êtes cette fois-ci dans une autre pièce particulière de la maison : la chambre archives

Par contre, si je vous emmène sur https://www.archives-kitcreanet.fr/, méfiance !

Vous n’êtes plus chez moi ! Le domaine a changé ! Le tiret entre archives et kitcreanet a pris la place du point. Ainsi archives n’est pas un sous-domaine.

Vous êtes sur le domaine archives-kitcreanet.fr… Vous êtes donc dans une autre maison, même si ce lien voulait vous faire croire le contraire…

Prenons quelques exemples : 

https://amazon.fr/ —  Je suis chez Amazon, pas de souci.

https://amazon.fr/compte/. Je suis toujours chez Amazon, et je regarde une page qui s’appelle compte.

https://kindle.amazon.fr/ — On est encore chez Amazon mais je suis dans une autre pièce de la maison, je suis dans un sous-domaine de chez Amazon, le sous-domaine Kindle.

https://amazon-paiement.fr/compte — À votre avis ? 

Je ne suis plus chez Amazon.fr. Nous avons changé de domaine, ou, pour reprendre mon exemple, nous avons changé de maison ! Ici on regarde toujours une page qui s’appelle compte, mais dans une autre maison, qui s’appelle amazon-paiement.fr, ce qui n’est pas la même chose que amazon.fr.

Bon c’était facile. Mais parfois, c’est beaucoup plus difficile à voir …

Prenez ces deux urls, à votre avis, sont-elles identiques ?

https://www.ameli.fr/

https://www.ameIi.fr/

Si vous avez répondu OUI, vous êtes tombé dans le piège. Mais ne soyez pas trop dur avec vous car le piège est plutôt de bonne facture… C’est quasiment invisible à l’œil nu, et il faut changer de police de caractères pour découvrir le pot aux roses… Et oui, dans le deuxième cas, la lettre L de AMELI a été remplacée par un i Majuscule (I) et l’illusion est totale. 

https://www.ameli.fr/

https://www.ameIi.fr/

Sachant que les navigateurs ne tiennent pas compte des majuscules, vous voilà redirigé vers ameii.fr au lieu de ameli.fr…

Le cas des URLs courtes

Dans certains cas, vous aurez affaire à une url qui a été raccourcie par des services en ligne tels tinyurl ou Bit.ly par exemple). Pour savoir quelle URL se cache derrière vous pouvez utiliser un expander de liens tel que celui qui est fourni sur le site Check Short Url.

Par exemple, cette url raccourcie : https://tinyurl.com/bdhesx35 mène vers l’article que vous êtes en train de lire sur mon site.

Placez l’url courte dans le champ de saisie et cliquez sur Expand.

L’adresse originale s’affiche en dessous.

Les URLs courtes tombent le masque ici…

Quelques exemples concrets (et réels)

J’ai reçu un mail de ma banque !

Ma banque m’informe d’un problème de sécurité

Mais si ! Regardez le joli mail que j’ai reçu : (c’est un vrai mail de phishing reçu dans ma boîte mail il y a quelques jours).

URGENCE – INFO.. et ça vient du Crédit Agricole ! Mince ! Ça a l’air sérieux !

Une intro alarmiste, un mail expéditeur étrange…

Ici, premier indice. Regardez l’adresse mail de l’expéditeur : noreplay@agricole.fr. Il y a deux informations importantes ici : 

noreplay… ça ne veut rien dire 😉 ou plutôt si, ça veut dire ne pas rejouer… ce qui ne signifie absolument rien dans ce contexte même si c’est assez subtil j’en conviens, surtout si vous ne parlez pas anglais.

Il arrive que vous receviez des messages mails qui sont envoyés automatiquement et auxquels il n’est pas nécessaire de répondre. Mais c’est noreply, ou no-reply (ne pas répondre) qui devrait être utilisé et pas noreplay

Ensuite, agricole.fr, ce n’est pas un nom de domaine correct pour les sites du crédit agricole. le vrai nom c’est credit-agricole.fr.

ok, alors, il raconte quoi ce mail ? 

Pas mal, mais peut mieux faire

On retrouve le logo de la banque, et un message alarmant indiquant que mon compte est exposé à la fraude car … mon numéro de téléphone n’est pas activé. Je ne sais pas trop ce que ça veut dire, mais je continue à lire.

Le message indique que si je ne fais pas une manipulation AUJOURD’HUI, mon espace client sera bloqué !

Ici, on a deux nouveaux indices : 

  • l’urgence pour commencer.
    C’est pressé ! Vite vite avant qu’il ne soit trop tard ! 
  • Puis la menace du blocage de mon espace client.
    C’est tellement logique. MA banque va bloquer MON espace client si je ne fais pas l’action demandée… Évidemment, jamais votre banque ne ferait une chose pareille.

Ici on joue sur les principaux leviers du phishing. On suscite chez la victime un sentiment d’urgence doublé d’un sentiment de peur : mais que vais-je devenir si je ne peux plus me connecter à ma banque ?

Ensuite, on m’indique que je vais pouvoir réaliser cette opération en toute confiance depuis mon espace connecté en cliquant sur le lien “j’active mon numéro de téléphone”.

Regardons ce lien d’un peu plus prêt… 

Indice supplémentaire : la couleur du lien. Ça n’a l’air de rien, mais les sociétés importantes sont très vigilantes sur leur image de marque et ça va jusque dans le choix des couleurs des liens. Ce n’est pas le bon vert ! 

Le lien maintenant. Que cache t-il comme informations ?

Comme je le disais un peu plus haut, rien de plus facile que de déguiser un lien. Il y a plusieurs façon de voir se qui se cache vraiment derrière un lien : 

  • Vous pouvez faire un clic droit sur le lien et choisir l’option Copier l’adresse du lien. Collez ensuite l’adresse dans un document pour découvrir le vrai lien.
  • Ou plus simplement et notamment si vous utilisez une messagerie depuis votre navigateur (type GMail), placez votre curseur sur le lien sans cliquer, et regardez dans la barre d’état de votre navigateur. Vous verrez le vrai lien apparaître.
La barre d’état de votre navigateur, un allié précieux !

Cinquième indice : dans ce cas, le lien renvoie en réalité vers cette adresse, un formulaire Google !!! Est-il utile de préciser qu’une banque comme le Crédit Agricole n’utilise pas les formulaires de chez Google pour échanger avec ses clients ?

C’est clair que je ne vais pas sur le site de ma banque là…

Si vous commettez l’erreur de cliquer sur le lien vous allez arriver sur cette page :

Plus de logo, une image pas top, et aucune identification sérieuse … méfiance …

Nous allons nous arrêter ici… Ce formulaire va vous demander diverses informations telles que votre numéro de téléphone, mais aussi votre adresse mail, votre numéro de compte et votre mot de passe… Tout ce qu’il faut au pirate pour pouvoir ensuite se connecter à votre compte bancaire !!!!

Dernier indice : l’orthographe

Les bandits de l’internet ont amélioré leurs qualités rédactionnelles et ils sont bien meilleurs que par le passé. Mais on trouve encore souvent des fautes d’orthographe et de grammaire que les grands sites ne font pas (tout est relu, relu, et relu encore). Ainsi dans mon mail on peut trouver les erreurs suivantes :

< Votre compte risques d’être exposé a la fraude …/… >

Un s en trop et un a simple à la place d’un à accent grave.

< NB : L’activation s’éffectue en 2 etapes >

Un accent à s’effectue et pas d’accent à étape. 

<  1 CODE ENVOYER PAR EMAIL enregistré sur votre compte> 

1 code envoyé.

<attendez de recevoir les SMS pour chaque etape duree …/… >

étape et durée ont perdu leurs accents, et la phrase démarre par une minuscule.

< Ne pas copier le meme code deux fois, faute de faire echouer l’activation , car a chaque etape un code… >

Encore des accents qui disparaissent : même, échouer, étape.

Mon compte personnel de formation va expirer

Un grand classique depuis de nombreux mois ! Le SMS qui vous dit que votre compte personnel de formation va expirer et que vous allez perdre vos droits !

Ben voyons …

On retrouve les mêmes leviers : 

  • L’urgence
  • La peur 

Premier indice, l’url qui est indiquée : 

  • Premièrement, il n’y a pas de protocole sécurisé. Le site du gouvernement qui gère votre compte personnel de formation utilise le protocole https, et non le http simple. Pas de https ? fuyez directement.
  • Ensuite cpf6.cc n’est pas le domaine qui correspond à l’adresse officielle du site : https://www.moncompteformation.gouv.fr/. Moncompteformation est un sous-domaine de gouv.fr.

Ces deux infos devraient suffire pour que vous jetiez immédiatement ce SMS sans autre forme de procès.

Mon compte Netflix est en refus de paiement !

Ça aussi, c’est un grand classique du moment ! Mon paiement a été refusé et mon précieux compte Netflix va être suspendu ! Ici c’est un peu “mieux”. On a une adresse qui utilise un protocole sécurisé en https. Oui mais … L’adresse indiquée n’est pas une adresse Netflix.com… Nous sommes sur un domaine .click !

On ne clique pas sur le lien et on jette directement ce SMS à la poubelle ! rendez-vous sur votre compte Netflix depuis votre navigateur habituel et vous constaterez que tout va bien. 

Ben voyons, bis,

La poste a un paquet pour moi

Allez, un petit dernier pour la route, le classique paquet postal en attente quelque part et qui nécessite une action urgente de ma part…

Bon la première chose, je n’attendais pas de paquet. Ensuite, le lien indique un domaine suivi-colis-laposte.info… Rien à voir donc avec le domaine officiel laposte.fr.

Le numéro court qui est mentionné ne correspond à rien de connu au moment ou je saisis ces lignes, mais comme vous pouvez l’imaginer, je n’ai pas cliqué dessus :).

POUBELLE !

Ben voyons, ter…

Prendre part à la lutte

J’en parlais dans ma lettre d’info n°10, que vous pouvez retrouver sur mon site à la rubrique des archives, il existe quelques sites à connaître pour signaler les contenus illicites du Web.

https://phishing-initiative.eu/ permet de signaler toutes les tentatives de phishing auxquelles vous êtes confrontés. Copiez collez le lien que vous souhaitez signaler, placez un commentaire, et le tour est joué.

Dénoncer, c’est bien 😉

Et peut-être que vous verrez le message suivant, avec le nombre de fois où cette adresse a déjà été signalée.

Ah, il s’est déjà fait chopper celui-là 😉

https://www.internet-signalement.gouv.fr/, plus connu sous le nom de Pharos, permet de signaler les escroqueries et les Spams mais également un grand nombre d’autres faits répréhensibles que vous constatez sur Internet.

Enfin, https://signalants.signal-spam.fr/ est un site dédié au signalement des Spam et autres pourriels. Il propose également des extensions de navigateurs et de téléphone pour signaler rapidement tout contenu qui vous paraît illicite.

En conclusion

Nous sommes arrivés à la fin de ce long article et j’espère que vous y aurez appris quelque chose et que vous serez désormais mieux armé pour lutter contre le fléau pénible, et même dangereux du hameçonnage.

Avant de nous quitter, je vous rapelle 10 grandes règles à suivre pour éviter de tomber dans le piège des escrocs du web :

  1. vérifiez toujours l’adresse de l’expéditeur (si le nom de votre banque n’apparaît pas dans un mail qui vous parle de votre compte bancaire, c’est un piège),
  2. Ne cliquez sur aucun lien dans les SMS ou dans les mails. Si c’est un problème Netflix, allez directement sur le site de Netflix pour vérifier, si c’est Amazon, allez directement sur le site d’Amazon, etc., 
  3. Soyez attentif à l’aspect graphique des mails. Les images sont-elles de bonne qualité, est-ce le bon logo, etc. 
  4. Soyez également attentif à la qualité rédactionnelle (orthographe, grammaire), 
  5. Soyez méfiant dès qu’on essaye de vous presser, dès qu’une notion d’urgence se fait sentir, c’est que le piège n’est pas loin,
  6. Si c’est trop beau, c’est sans doute faux. Non, désolé, vous n’avez pas gagné le dernier iPhone,
  7. Ne cliquez sur aucune pièce jointe transmise par quelqu’un que vous ne connaissez pas. C’est poubelle !
  8. Ne transmettez jamais aucune donnée personnelle (mail, n° de compte, identifiant, mot de passe, etc.). Ni par mail, ni par SMS, ni sur un réseau social ou un tchat, ni par téléphone. Les organismes sérieux ne vous demanderont jamais ce genre de choses. 
  9. Au travail, si vous recevez un mail bizarre de votre patron, demandez à votre patron si c’est bien lui qui vous l’a envoyé. Le Phishing existe aussi en entreprise,
  10. Apprenez à utiliser les outils qui vous permettent de détecter les pièges, vérifiez les liens, et signalez les escroqueries quand vous les découvrez, ça profite à tout lemonde. 

Quelques sources d’information

Le dossier phishing sur le site du gouvernement

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/dossier-phishing

Les fiches mémo offertes par le site, à imprimer et à afficher au bureau et à la maison. Donnez-les à vos aînés, à vos enfants.

https://www.cybermalveillance.gouv.fr/medias/2020/01/Fiche-reflexe_hameconnage.pdf

https://www.cybermalveillance.gouv.fr/medias/2020/01/Memo_hameconnage.pdf

Le site de phishing initiative

https://phishing-initiative.eu/contrib/

Le site pour signaler les Spams

https://signal-spam.fr/

Le Portail officiel de signalement des contenus illicites de l’Internet

https://www.internet-signalement.gouv.fr/PharosS1/

Si vous avez trouvé une faute d’orthographe, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée .

Laisser un commentaire