Attaques de type "Phishing"
Date : 20 Juin 2005
Le terme de "phishing" est apparu récemment pour désigner les escroqueries qui consistent :
- à inciter, par e-mail, une victime à se rendre sur un faux site web,
- puis (une fois sur ce site web), à le convaincre de saisir des informations confidentielles telles qu'un numéro de carte bancaire, ou un nom de compte et son mot de passe, etc.
Bien entendu les données ainsi volées sont réutilisées ensuite par les escrocs ayant lancé le "phishing" pour détourner de l'argent ou usurper l'identité des victimes.
Ce type d'attaque a pris au cours des six derniers mois des proportions incroyablement élevées. Le "Anti-Phishing Working Group" (APWG), qui recueille depuis novembre 2003 des données sur ce phénomène, à ainsi recensé pour le seul mois d'avril dernier 1125 cas de "phishing" différents (soit 37,5 par jour en moyenne); les 3 organismes les plus souvent usurpés étant dans l'ordre : le groupe bancaire "Citibank" (475 attaques), le site d'enchère "EBay" (221 attaques) et le système de payement en ligne "PayPal" (135 attaques).
Les techniques d'usurpation d'identité (pour se faire passer pour un site officiel, digne de confiance), aussi bien pour l'e-mail incitatif que pour le faux site web mis en place, sont souvent très pointues et difficiles à mettre en évidence, même pour un spécialiste. Le site web imite parfaitement le site authentique (logo, mise en page, etc), et des techniques de dissimulation d'URL (voir par exemple la note d'information CERT-IST/IF-2003.010 ou l'article du bulletin de juillet 2003 sur les fenêtres "chromeless") rendent difficile l'identification de la supercherie.
Voici les recommandations pour éviter de se faire piéger par ce type d'attaque :
- Etre extrêmement méfiant vis-à-vis de toute sollicitation (e-mail, Popup, etc..) encourageant à fournir (de façon urgente) des données bancaires ou personnelles.
- Ne pas cliquer sur les liens inclus à ces messages incitatifs (qui sont souvent des liens maquillés). Retaper plutôt manuellement les adresses web (URL) données dans la barre d'adresse de votre navigateur si vous souhaitez vous rendre sur le site web indiqué.
- Mettre à jour très régulièrement les outils Internet (client de messagerie, navigateur web) de façon à corriger les faiblesses ou les vulnérabilités rendant possible l'usurpation d'identité.
Il existe aussi de plus en plus d'outils pour les navigateurs web (se présentant sous la forme de "toolbar" - barre d'outils - intégrée au navigateur) qui vous indiquent l'identité réelle du site visité (outil "Spoofstick"), ou vous avertissent si le site visité n'est pas sûr (outil "ScamBlocker" de EarthLink et outil "AccountGuard" de EBay).
De façon plus anecdotique, le terme de "Phishing" est la transcription phonétique du mot anglais "fishing", utilisée à l'origine dans le milieu des hackers (où il est très courant d'utiliser un jargon ou certaines lettres sont remplacées par d'autres : par exemple remplacer "E" par "3", "A" par "4", etc..). Le terme "fishing" désigne ici le fait d'aller "pêcher" ("piéger") une victime.
Pour plus d'information :
- Article "Phear of phishing" : http://www.nwfusion.com/research/2004/051phishing.html
- Site de "l'Anti-Phishing Working Group" (AFWG) : http://www.antiphishing.org
- Rapport d'avril 2004 du AFWG : http://www.antiphishing.org/APWG_Phishing_Attack_Report-Apr2004.pdf