Phishing : les moyens de lutter

Nous allons étudier deux cas différents de phishing qui nous permettront par la suite de mieux comprendre les mécanismes utilisés par les pirates et ainsi détecter plus facilement ce type de fraude. Les méthodes employées dans ces deux cas ne sont malheureusement pas les seules existantes, de nombreuses autres techniques peuvent être employées.

La première chose à faire lors de la réception d’un mail douteux est d’observer le code source du message. Si vous utilisez Outlook, faites un clic droit dans la fenêtre de lecture du mail et choisissez Afficher la source. Avec Thunderbird, aller dans Affichage puis sélectionnez Code source du message. Les autres clients email possèdent pour la plupart une fonctionnalité similaire.


Commençons par un premier exemple : il s'agit d'un cas d'attaque par phishing lancé depuis le 23 mai 2005 (la majorité des emails a été envoyée le 27 mai). L'email suivant a été envoyé massivement comme un vulgaire spam à des milliers d'internautes français possédant un email en .fr. Le sujet du mail étant "Societe Generale / BNP Paribas / CIC Banque / Banque CCF", les pirates ont donc choisi de "ratisser large" en espérant que sur la masse d'emails envoyés, il y aurait bien des clients de l'une de ces banques. Voici le contenu du mail en question :

On constate ici une première "maladresse" de la part des fraudeurs : l'email est en anglais. Etrange pour un message censé être envoyé à des clients français ! Etrange également qu'un même message vise quatre banques concurrentes en même temps !

On notera que le message semble être envoyé par une personne travaillant à la banque CCF (le mail provient d'une adresse @ccf.fr). Cela n'est pas pour autant un gage de sécurité car il est très simple de modifier l'expéditeur d'un mail et ainsi envoyer un message en se faisant passer pour une personne de son choix.

Mais intéressons nous de plus près au contenu du message. Celui-ci nous affirme donc être envoyé par le serveur de notre banque afin de vérifier notre adresse email. On nous invite par la suite à cliquer sur le lien correspondant à notre banque puis à indiquer des informations en ligne au travers d'une petite fenêtre. Afin de rassurer l'internaute, l'email croit bon de préciser que cette vérification est faite pour notre sécurité car certains de leurs membres n'ayant plus accès à leur adresse email, une vérification doit être effectuée.

Après un coup d'oeil rapide dans le code source de l'email, une des premières lignes nous interpelle :

Received: from host185-169.pool8252.interbusiness.it (host185-169.pool8252.interbusiness.it [82.52.169.185])

L'email provient non pas d'une grande banque française comme il serait logique de le penser mais d'une machine en Italie (visiblement hackée). Bref, cela ne présage rien de bon. D'après ZATAZ, certains de ces emails ont également été envoyés par plusieurs proxies en utilisant des bots spammeurs pour diffuser l'email...

Mais continuons de parcourir le code source de l'email... Ce dernier étant au format texte et HTML, on se rend compte que les quatre liens proposés ne correspondent pas à ceux affichés "en clair" dans le corps de l'email. A noter que pour certains clients email comme Thunderbird par exemple, le survol de la souris sur un lien permet d'afficher l'URL correspondante en bas de la fenêtre de lecture, il n'est donc pas nécessaire de visualiser le code source pour connaître l'URL réelle d'un lien. Voici le code correspondant au premier lien :

<a href="http://www.google.de/url?q=http://go.msn.com/HML/5/5.asp?target=http://3%09%72a%71dt%73.d%61%%%2e%%%%72%09%%%55/" target=_blank>http://www.societegenerale.fr/U5uDv8q9jmbWBT3cqmre3oa91a5x3</a>

On constate ici que le lien censé conduire sur une page du site de la Société Générale utilise en réalité une double redirection passant par google.de puis par go.msn.com pour enfin aller sur une adresse qui ne correspond en rien à celle de la banque en question. On remarque également que la redirection ne se fait pas sur une adresse IP classique mais sur une adresse dont la forme ne nous semble pas familière : http://3%09%72a%71dt%73.d%61%%%2e%%%%72%09%%%55/. Il s'agit en réalité d'une astuce supplémentaire pour "masquer" une simple adresse IP en la convertissant en hexadécimal. Bien que cette écriture soit parfaitement fonctionnelle, elle est plus difficilement lisible et permet de brouiller un peu plus les pistes. Une simple reconversion permettra d'obtenir l'adresse en clair.

Les liens concernant les trois autres banques sont également basés sur le même modèle. Un clic sur ce lien charge alors de manière transparente une page hébergée en Russie. Cette page redirige ensuite vers le vrai site de la Société Générale tout en ouvrant une popup en premier plan nous invitant à indiquer notre identifiant et notre code secret.

Source de la reproduction : societegenerale.fr

Nous nous retrouvons donc en présente du vrai site bancaire avec en premier plan une fenêtre qui elle n'a aucun rapport avec la banque ! Bien entendu, dès que vous aurez rempli les champs et cliqué sur le bouton Envoyer, vos informations confidentielles seront envoyées aux pirates qui pourront alors à loisir effectuer des virements de votre compte en banque vers d'autres comptes étrangers. Le piège aura alors fonctionné. Pourtant, comme nous l'avons vu, il est relativement facile de se rendre compte de la supercherie si l'on se montre suffisamment prudent.