Intro

Le phishing, dit hameçonnage en Français si vous avez un monocle et un porte cigarette, consiste à tenter de récupérer des informations confidentielles sur vous, vos mots de pass, vos numéros de cartes de payement et ce genre de choses en vous invitant simplement à les entrer sur une interface qui est supposée inspirer confiance.

C'est là que quelqu'un qui a une expérience informatique de plus de 6 mois ne devrait pas se "faire avoir", parce que les pages ou emails de phishing ont toujours quelque chose de suspect qui devrait vous faire allumer les signaux d'alerte...

Je vais commencer par l'exemple que j'ai vu aujourd'hui puis par quelque chose de plus récent. Notons bien qu'un enfant est capable de lancer une "attaque" phishing, il faut pas être un pirate des pécés. Votre enfant l'a peut être déjà d'ailleurs fait sur vous pour récupérer tous vos mots de passe.

Comment ça se passe? Vous recevez un mail comme celui en bas de l'image. Idéalement c'est ciblé par rapport à votre banque, ou un site que vous utilisez (Caramail, Gmail, Paypal, ...). Ici c'est genre pas ciblé du tout.

Signal d'alerte number ouane

Mrs. Anita Richards utilise l'adresse email test@lycamobile.co.uk? Qui n'a rien à voir avec son nom? Ni son entreprise? Il y a "test" dedans? Hein ???

Signal d'alerte number tou

Regardez la cible du lien. Je l'affiche pas sur la photo d'écran mais c'est un site obscur qui n'a de nouveau rien à voir avec là ou l'hypothétique personne est employée ou comment elle s'appelle. Si vous voulez pousser le vice allez voir la racine de ce site.

C'est quoi la racine? Si votre lien est: http://supersite.com/truc_suspect/page_bizarre.html ; la racine est: http://supersite.com.

Chez moi ça parle de LABUTA ce qui est jamais bon signe:

Tout ça n'a rien à voir avec Mrs. Anita Richards et la Darwin Inc... On m'aurait trompé?

Signal d'alerte number tfwrwii

Cliquez sur le lien. Sisi, allez-y (attention à ne pas faire dans Internet Explorer 6).

Quelque part sur la page, on va vous demander d'entrer un mot de passe (ou un numéro de carte de crédit mais c'est beaucoup trop flag ça). Ici ils me demandent mon adresse email et mot de passe... Un phishing plus efficace va essayer de brander cette page pour qu'elle ressemble vraiment à une page de login de Gmail ou Hotmail. Là c'est vraiment générique et pitoyable.

Mais, ça marche quand même?

Ces emails sont envoyés par millions. Il y a toujours une micro-fraction qui va envoyer son nom d'utlisateur et mot de passe. Le problème c'est qu'avec ces infos, les gens malveillants qui sont là derrière peuvent maintenant envoyer d'autres emails de prout via votre adresse.

Fut un temps ou vous aviez directement le formulaire (le truc qui demande votre nom d'utilisateur et mot de passe) dans l'email. Wow... Cool hein?

Avec les clients mail actuels c'est devenu impossible parce qu'ils ne chargent pas les images par défaut, je sais pas si vous aviez remarqué. Puis un formulaire HTML dans un mail c'est toujours suspect.

Exemple plus récent

Je n'ai pas de photos d'écran de tout le processus (j'aurais du en prendre) mais je vous fait un topo.

Vous êtes connecté sur Facebook peinard, et vous voyez un truc qui ressemble à ça:

Aaaaaah j'ai le même pyja!

Vous avez envie de cliquer pas vrai? Sisi vous avez envie. Même si vous êtes nés dans un corps féminin ou que vous êtes un ornithorynque, vous voulez savoir ce qu'est le fantasme de tous les hommes, y compris Louis Michel.

Quand vous cliquez, ça vous ouvre un nouvel onglet (ou une nouvelle fenêtre si vous êtes sous Internet Explorer 6) avec une page de connexion Facebook qui a l'air plus ou moins normale:

A nouveau, plusieurs signaux d'alerte:

Signal alarme number uno

Vous etiez connectés sur Facebook avant de cliquer sur le lien. Maintenant vous l'êtes tout à coup plus? Si vous retournez sur votre onglet/fenêtre Facebook vous savez toujours lire les commentaires et tout ça. Qu'est-ce qui se passe?

Singal d'alarme el major fucking signal

L'URL. Regardez votre barre d'adresse. C'est quoi ce vieux site Russe? Mmmh... Normalement c'est www.facebook.com non? Oui je confirme.

A côté de ça vous avez aussi HTTPS mais je me sens pas d'en parler maintenant puis les pirates Russes peuvent avoir choppé un certificat avec leur domaine piraté bizarre (très, très hautement improbable ceci dit). Oui parce que, vous vous en doutez (ou peut être pas en fait), ces pages phishing sont toujours hébergées sur des sites web qui ont été "piratés" (ou sur des Google Drives de comptes Gmail récupérés par phishing).

Et si j'ai vraiment entré mon nom d'utilisateur et mot de passe?

Ils sont dans une base de données quelque part. Rassurez-vous les personnes à l'origine du hack ne vont pas se connecter sur votre compte et poster que vous êtes fétichiste des ballons gonflables. C'est un système robotisé qui va se connecter à votre compte et poster des publicités et de nouveaux liens pour récupérer de nouveaux comptes Facebook d'autres personnes.

Le génie étant que ces publications sont faites en votre nom donc vos amis Facebook un peu naïfs ou novices d'Internet, ils vous font confiance et cliquent. Mauvais idée.

Vous pouvez toujours changer votre mot de passe pour empêcher le robot pirate d'utiliser votre compte. Le problème c'est que le dit robot-pirate a peut être déjà changé votre mot de passe lui-même.

J'ai un antivirus + firewall + internet security goat farming edition à 50 dolls, pourquoi il détecte pas ces trucs?

C'est au browser de détecter le phishing en utilisant des bases de données d'URL suspectes. Ca fonctionne pas mal mais c'est pas réactif au moment même. Je veux dire, une page de phishing peut mettre une semaine avant d'être reconnue comme phishing par un browser. Oubliez votre antivirus il sert à rien pour ça ou sera toujours en retard.

Internet Explorer 6 ne détecte pas le phishing du tout. Netscape 4 non plus.

Blog des Gens Compliqués

Phishing old school

Table des matières