Sécurité

Phishing : les moyens de lutter

Etude de cas n°1

Nous allons étudier deux cas différents de phishing qui nous permettront par la suite de mieux comprendre les mécanismes utilisés par les pirates et ainsi détecter plus facilement ce type de fraude. Les méthodes employées dans ces deux cas ne sont malheureusement pas les seules existantes, de nombreuses autres techniques peuvent être employées.

La première chose à faire lors de la réception d’un mail douteux est d’observer le code source du message. Si vous utilisez Outlook, faites un clic droit dans la fenêtre de lecture du mail et choisissez Afficher la source. Avec Thunderbird, aller dans Affichage puis sélectionnez Code source du message. Les autres clients email possèdent pour la plupart une fonctionnalité similaire.


Commençons par un premier exemple : il s'agit d'un cas d'attaque par phishing lancé depuis le 23 mai 2005 (la majorité des emails a été envoyée le 27 mai). L'email suivant a été envoyé massivement comme un vulgaire spam à des milliers d'internautes français possédant un email en .fr. Le sujet du mail étant "Societe Generale / BNP Paribas / CIC Banque / Banque CCF", les pirates ont donc choisi de "ratisser large" en espérant que sur la masse d'emails envoyés, il y aurait bien des clients de l'une de ces banques. Voici le contenu du mail en question :

Exemple de phishing

On constate ici une première "maladresse" de la part des fraudeurs : l'email est en anglais. Etrange pour un message censé être envoyé à des clients français ! Etrange également qu'un même message vise quatre banques concurrentes en même temps !

On notera que le message semble être envoyé par une personne travaillant à la banque CCF (le mail provient d'une adresse @ccf.fr). Cela n'est pas pour autant un gage de sécurité car il est très simple de modifier l'expéditeur d'un mail et ainsi envoyer un message en se faisant passer pour une personne de son choix.

Mais intéressons nous de plus près au contenu du message. Celui-ci nous affirme donc être envoyé par le serveur de notre banque afin de vérifier notre adresse email. On nous invite par la suite à cliquer sur le lien correspondant à notre banque puis à indiquer des informations en ligne au travers d'une petite fenêtre. Afin de rassurer l'internaute, l'email croit bon de préciser que cette vérification est faite pour notre sécurité car certains de leurs membres n'ayant plus accès à leur adresse email, une vérification doit être effectuée.

Après un coup d'oeil rapide dans le code source de l'email, une des premières lignes nous interpelle :

Received: from host185-169.pool8252.interbusiness.it (host185-169.pool8252.interbusiness.it [82.52.169.185])


L'email provient non pas d'une grande banque française comme il serait logique de le penser mais d'une machine en Italie (visiblement hackée). Bref, cela ne présage rien de bon. D'après ZATAZ, certains de ces emails ont également été envoyés par plusieurs proxies en utilisant des bots spammeurs pour diffuser l'email...

Mais continuons de parcourir le code source de l'email... Ce dernier étant au format texte et HTML, on se rend compte que les quatre liens proposés ne correspondent pas à ceux affichés "en clair" dans le corps de l'email. A noter que pour certains clients email comme Thunderbird par exemple, le survol de la souris sur un lien permet d'afficher l'URL correspondante en bas de la fenêtre de lecture, il n'est donc pas nécessaire de visualiser le code source pour connaître l'URL réelle d'un lien. Voici le code correspondant au premier lien :

<a href="http://www.google.de/url?q=http://go.msn.com/HML/5/5.asp?target=http://3%09%72a%71dt%73.d%61%%%2e%%%%72%09%%%55/" target=_blank>http://www.societegenerale.fr/U5uDv8q9jmbWBT3cqmre3oa91a5x3</a>


On constate ici que le lien censé conduire sur une page du site de la Société Générale utilise en réalité une double redirection passant par google.de puis par go.msn.com pour enfin aller sur une adresse qui ne correspond en rien à celle de la banque en question. On remarque également que la redirection ne se fait pas sur une adresse IP classique mais sur une adresse dont la forme ne nous semble pas familière : http://3%09%72a%71dt%73.d%61%%%2e%%%%72%09%%%55/. Il s'agit en réalité d'une astuce supplémentaire pour "masquer" une simple adresse IP en la convertissant en hexadécimal. Bien que cette écriture soit parfaitement fonctionnelle, elle est plus difficilement lisible et permet de brouiller un peu plus les pistes. Une simple reconversion permettra d'obtenir l'adresse en clair.

Les liens concernant les trois autres banques sont également basés sur le même modèle. Un clic sur ce lien charge alors de manière transparente une page hébergée en Russie. Cette page redirige ensuite vers le vrai site de la Société Générale tout en ouvrant une popup en premier plan nous invitant à indiquer notre identifiant et notre code secret.

Phishing : fausse popup mais vrai site  en arrière plan
Source de la reproduction : societegenerale.fr

Nous nous retrouvons donc en présente du vrai site bancaire avec en premier plan une fenêtre qui elle n'a aucun rapport avec la banque ! Bien entendu, dès que vous aurez rempli les champs et cliqué sur le bouton Envoyer, vos informations confidentielles seront envoyées aux pirates qui pourront alors à loisir effectuer des virements de votre compte en banque vers d'autres comptes étrangers. Le piège aura alors fonctionné. Pourtant, comme nous l'avons vu, il est relativement facile de se rendre compte de la supercherie si l'on se montre suffisamment prudent.

Vos commentaires
Laissez un commentaire !
  1. rolandro en tant qu'invité
    le 10 février 2014 à 10h14

    Très pédagogique. Merci.

    répondre
  2. riri1969 en tant qu'invité
    le 21 novembre 2006

    Trés bon outil ; Devient vite indispensable. Je ne l'ai installé que sur l'infâme I.E pensant que FF était assez sécur

    répondre
  3. yo4 en tant qu'invité
    le 30 juillet 2005

    je vais pas etre original, mais vraiment bravo et merci.

    répondre
  4. Gen en tant qu'invité
    le 26 juillet 2005

    Génial cet article, on a enfin quelque chose de complet et rempli d'exemples en ce qui concerne les méthodes de phishing et les moyens de se protéger

    Bravo Yann

    répondre
  5. pierromanu en tant qu'invité
    le 26 juillet 2005

    merci pour cet article complet et tout....

    répondre
  6. phildelo en tant qu'invité
    le 22 juillet 2005

    Salut Yann. Je viens tout juste de m'inscrire aux forums Zebulon, après avoir lu ton article. Moi qui parfois achète sur le net, je vais, bien sûr être beaucoup plus vigilent. Félicitations pour celui-ci, il est super et complet. Même moi qui suis novice, j'ai compris et ai fait les vérifs. Encore merci à toi ainsi qu'a ceux qui s'investssent pour les autres.

    répondre
Ecrire un commentaire