Sécurité

Phishing : les moyens de lutter

Etude de cas n°2

Etudions maintenant notre second exemple d'attaque par phishing :

Autre exemple de phishing

Encore une fois, nous avons affaire à un email en anglais. La cible est une fois de plus une banque (cible privilégiée des amateurs de phishing). Les pirates se font passer ici pour une banque américaine. Sous prétexte d'une mise à jour logicielle de leur système, la banque nous demande de cliquer sur le lien afin de pouvoir confirmer nos informations personnelles.

Le corps du mail est en réalité une seule et même image contenant le logo de la banque ainsi que le texte, le tout pointant directement non pas vers le site officiel de la banque mais vers l'IP du serveur hébergeant le faux site bancaire. Là encore, nous allons analyser le code source de l'email. Précédant l'insertion de l'image dans le mail, on observe le code suivant :

<html><p><font face="Arial"><A HREF="https://www.southtrust.com/st/PersonalBanking/custdetailsconfirmation"><map name="kre"><area coords="0, 0, 597, 355" shape="rect" href="http://219.235.0.9/.../st/"></map><img SRC="cid:part1.01090000.00080708@support_refnum_8695673753424@southtrust.com" border="0" usemap="#kre"></A></a></font></p><p><font color="#FFFFF1">Britney Spears Skateboarding haven't seen IT/Ginger in 2001 </font></p></html>


Le code HTML nous montre qu'un "vrai" lien pointant sur le site réel de la banque SouthTrust est présent (https://www.southtrust.com/st/PersonalBanking/custdetailsconfirmation) mais celui-ci est "écrasé" par une zone cliquable définie par dessus. Ainsi, un clic sur l'image pointera donc sur le site frauduleux et non sur le site réel. La présence de ce lien réel permet de donner plus de véracité au phishing et de pouvoir tromper plus facilement les filtres. On remarquera également la phrase "Britney Spears Skateboarding haven't seen IT/Ginger in 2001" écrit en blanc sur fond blanc, donc invisible, en bas du message. Cette phrase qui n'a bien évidemment aucun rapport avec un site bancaire semble avoir été générée aléatoirement afin de tromper les filtres anti-spam. Tous ces éléments nous prouvent donc que nous avons affaire à une jolie arnaque réalisée dans les règles de l'art...

Mais n'ayons peur de rien et cliquons sans plus attendre sur l'image de notre mail ! Nous arrivons alors sur la page suivante :

Phishing : une fausse page de banque

La page imite tant bien que mal le site officiel de la banque et nous invite à indiquer l'ensemble de nos informations personnelles concernant la banque. On remarquera également le logo VeriSign en bas à droite censé indiquer que le site est sécurisé... Un comble ! Mais tous les moyens sont bons pour les pirates...

Notre naturel curieux nous pousse à aller plus loin. Nous remplissons donc le formulaire avec des données complètement erronées puis nous cliquons sur le bouton Confirm. La page suivante s'affiche alors :


Phishing : une fausse page de confirmation

Comme on pouvait s'y attendre, le site confirme notre saisie sans avoir fait aucune vérification des données que nous avons indiquée. Rien de plus logique étant donné que les pirates ne possèdent aucune donnée nous concernant, le but de leur manoeuvre étant de les récolter. On constate ici que les différents liens de cette page (Click here, bouton Exit...) redirigent vers les pages réelles de la banque, l'internaute piégé pense alors qu'il n'a jamais quitté le site bancaire...

Vos commentaires
Laissez un commentaire !
  1. rolandro en tant qu'invité
    le 10 février 2014 à 10h14

    Très pédagogique. Merci.

    répondre
  2. riri1969 en tant qu'invité
    le 21 novembre 2006

    Trés bon outil ; Devient vite indispensable. Je ne l'ai installé que sur l'infâme I.E pensant que FF était assez sécur

    répondre
  3. yo4 en tant qu'invité
    le 30 juillet 2005

    je vais pas etre original, mais vraiment bravo et merci.

    répondre
  4. Gen en tant qu'invité
    le 26 juillet 2005

    Génial cet article, on a enfin quelque chose de complet et rempli d'exemples en ce qui concerne les méthodes de phishing et les moyens de se protéger

    Bravo Yann

    répondre
  5. pierromanu en tant qu'invité
    le 26 juillet 2005

    merci pour cet article complet et tout....

    répondre
  6. phildelo en tant qu'invité
    le 22 juillet 2005

    Salut Yann. Je viens tout juste de m'inscrire aux forums Zebulon, après avoir lu ton article. Moi qui parfois achète sur le net, je vais, bien sûr être beaucoup plus vigilent. Félicitations pour celui-ci, il est super et complet. Même moi qui suis novice, j'ai compris et ai fait les vérifs. Encore merci à toi ainsi qu'a ceux qui s'investssent pour les autres.

    répondre
Ecrire un commentaire