Vous êtes dans : Accueil > Tribunes libres >

Retour sur le phishing : l’article qui pique les yeux

Cédric Cartau, MARDI 30 JUIN 2020

Dans un article récent(1) , Charles Blanc-Rolin entamait une classification des tentatives de phishing qui sévissent sur l’Internet. L’article classe en sept catégories ces cochonneries dont nous sommes inondés couramment : arnaque au faux support informatique, vente de masques FFP2 en ligne, etc. L’article regorge de copies d’écran et d’exemples de terrain ; sa lecture est indispensable pour tout informaticien qui se respecte.

L’évolution de ce type d’attaque me laisse totalement pantois, à mi-chemin entre l’admiration devant l’ingéniosité des attaquants – reconnaissons-le, certaines attaques sont extrêmement bien réalisées – et le dégoût devant le fait qu’il existe manifestement une catégorie de parasites dans ce bas monde qui n’imagine aucun autre moyen de subsistance que celui qui consiste à dépouiller son prochain. Cela étant, outre la classification technique de Charles, j’aime à penser que l’on peut aussi tenter une classification « socio-motivationnelle » des attaques en question, ou autrement dit relever les leviers ou les « cordes sensibles » sur lesquelles les attaquants souhaitent jouer pour pénétrer l’esprit de la cible.

Le grand classique, c’est le mail à caractère sexuel. Vous avez tous certainement reçu des tonnes de mails provenant de beautés russes sculpturales qui ne rêvent de rien d’autre que de vous épouser (après bien entendu vous avoir permis de tester les hors-d’œuvre) et, pour ma part, c’est fou ce qu’Anna Kournikova a pu m’envoyer comme photos, elle ne fait vraiment pas ses 39 ans ! Pour être franc, j’ai des doutes…

Après, c’est le caractère d’urgence qui est mis en avant : cliquez sur tel lien sinon votre messagerie va être bloquée à cause de son quota d’espace disque. C’est d’ailleurs exactement le même ressort qui est utilisé lors d’une arnaque au président : on vous fait croire que la vie de l’entreprise en dépend, et voilà tel chef comptable ou trésorier qui fait un virement international sur un compte au Zimbabwe. En gros, plus on vous dit qu’il y a urgence et moins il faut se presser.

Il y a environ cinq ans, on a vu apparaître les messages, particulièrement bien réussis pour certains, d’un de nos proches en situation délicate à l’étranger (perte des moyens de paiement, besoin d’un billet d’avion retour en urgence pour aller au chevet de sa belle-mère mourante, etc.). J’en connais qui s’y sont laissé prendre : le levier de la générosité fonctionne très bien. Dans la même veine, la petite Marie atteinte d’une maladie rare attend une greffe de moelle urgente, et il faut débloquer des fonds pour cette opération de la dernière chance ; je me demande bien quel genre d’ordure il faut être pour utiliser ce genre d’intox dans le seul objectif de soutirer quelques centaines d’euros.

Depuis environ deux ans circulent sur le Net des messages prétendant vous avoir filmé avec votre propre webcam en train de surfer sur des sites pornographiques et réclamant une rançon en bitcoins pour que la vidéo ne soit pas envoyée à tous vos potes. Là, il s’agit de jouer sur la culpabilité et, sans dévoiler de noms, j’ai passé quelques heures au téléphone à rassurer des connaissances qui avaient été ciblées et pensaient vraiment que leur vie sociale était fichue. Un bon conseil : mettez un Scotch sur votre webcam, vous pourrez ensuite aller surfer sur Modes et Travaux ou Notre temps sans soucis.

Autre arnaque, certains mails imitent à la perfection les messages de relance de factures d’enseignes connues du Web. Pour ma part j’en ai reçu plusieurs imitant à s’y tromper les mails d’OVH. Le grand classique de la catégorie, ce sont les messages prétendument issus de votre banque, un clic sur le lien embarqué vous mène directement sur un faux site bancaire. La seule contre-mesure efficace est de ne pas cliquer sur le lien et de taper soi-même l’URL dans un navigateur.

Récemment sont apparues les premières tentatives visant à contourner l’authentification multifacteur (MFA) sur le paiement en ligne (le fait de recevoir un SMS avec un code temporaire pour authentifier un achat par CB sur un site marchand). Si votre banque fait correctement son travail, le SMS reçu doit bien préciser de ne jamais (ce qui veut dire jamais, jamais) transmettre ce code par téléphone : si un petit malin arrive à attraper votre numéro de CB protégé par ce mécanisme, avec un coup de fil direct sur votre portable et un peu de bagou, il peut arriver à vous faire « avouer » ce code temporaire et commander toutes sortes de trucs aux frais de la princesse (la princesse, c’est vous). Seule contre-mesure efficace : ne jamais donner ce code par téléphone et, au demeurant, je signale que toute banque qui se respecte se doit de proposer des mécanismes de CB virtuelles à usage unique avec MFA. C’est exactement pour cette raison que j’ai quitté N26 (début mai 2020, c’était impossible chez eux). Je vous engage d’ailleurs à écouter le REX du Comptoir Sécu[2] sur une attaque en MFA particulièrement sophistiquée[3].

Enfin, il existe des attaques contre lesquelles même les plus aguerris se feraient avoir : les reroutages de DNS avec lesquels, même en tapant vous-même l’URL de votre site bancaire, vous êtes dirigés vers un site Rogue. La manœuvre est quasi indétectable. À part monter une connexion VPN pour rebondir sur un NordVPN ou un ProtonVPN, je ne vois pas trop ce que l’on pourrait faire. Cela étant, monter ce type d’arnaque coûte assez cher, et gageons que ce n’est pas à la portée du premier ado venu. Par contre, si votre profession fait de vous une cible, c’est une autre histoire : un PDG averti en vaut deux.

Ah ! dernier truc : un bon test pour se familiariser avec les différents niveaux de phishing https://phishingquiz.withgoogle.com/
C’est gratuit et à la portée de tous. À faire en famille ou au bureau.

[1] https://www.apssis.com/actualite-ssi/429/covid-19-et-les-quarante-voleurs.htm 

[2] https://www.comptoirsecu.fr/sechebdo/sechebdo-05-mai-2020/ 

[2] https://krebsonsecurity.com/2020/04/when-in-doubt-hang-up-look-up-call-back/ 

#apssis#