Comment détecter et contrer les escroqueries de type phishing ? Avast vous donne des conseils pour les reconnaître et les éviter ainsi qu'une étude de cas détaillée.
La détection, l'identification et même l'exposition des escroqueries de type phishing sont des tâches relativement faciles de nos jours. Tout ce dont vous avez besoin est une certaine capacité à reconnaître les stratagèmes du phishing et un bon moteur de recherche.
Grâce à ces outils, nous pouvons non seulement déceler les arnaques de phishing mais également remonter à leur source.
En 2017, les escroqueries de phishing sont quotidiennes. J'en ai reçu, vous en avez reçu et nous en recevrons encore et encore. Il s'agit d'un email d'une entité qui ressemble à s'y méprendre à une entreprise chez qui nous disposons d'un compte.
L'entité en question prétend être cette entreprise et déclare que notre compte présente des problèmes ou s'avère compromis. Pas d'inquiétude à avoir : l'entité nous informe qu'on peut régler le problème en un claquement de doigts. Il nous suffit alors de cliquer sur le lien fourni et de saisir nos informations de connexion.
Une fois la procédure effectuée, les cybercriminels sont en possession de nos informations. En un clic, la boîte de Pandore des ennuis et des soucis s'est ouverte.
Une page de phishing qui peut piéger de nouveaux utilisateurs.
Un premier indice qui ne trompe pas : les emails de phishing contiennent généralement des images de mauvaise qualité voire déformées du logo d'une entreprise. Vous remarquerez également des balises HTML apparentes ainsi que des coquilles.
L'utilisateur expérimenté repère les éléments frauduleux évidents à 10 km. Malheureusement, cette tactique fonctionne toujours sur les utilisateurs inexpérimentés et naïfs.
Différences entre une page de phishing (gauche) et la page originale (droite)
Outre les erreurs globales de conception qui sautent aux yeux, vérifiez également la barre d'adresse. Les navigateurs sécurisés tels qu'Avast vous avertissent si une page web n'est pas liée à une connexion sécurisée. Ensuite, regardez l'URL : vous remarquerez de nombreuses autres preuves qu'il ne s'agit pas de la bonne entreprise.
Exemples de noms de domaines étranges qui essaient de ressembler à PayPal
Autre signal d'alarme : Base64
Il s'agit d'un schéma de codage permettant aux pages de phishing de masquer un domaine web. Le lien tente de persuader l'utilisateur de cliquer. Il peut cacher un email, un document ou une page web. Un examen attentif du site web affiché révélera le lien de phishing et le code HTML cachés dans les métadonnées.
Encore une technique utilisée pour éviter de repérer l'escroquerie trop rapidement. Si vous voyez Base64 dans la barre d'adresse, vous savez que vous avez affaire à un lien suspect.
Base64 dans la barre d'adresse
Notre expérience a commencé lorsque nous avons repéré cette page de connexion frauduleuse :
Page de connexion frauduleuse
Comme vous pouvez le constater, la barre d'adresse indique du code Base64. Pour les utilisateurs inexpérimentés, l'URL ressemble à une véritable adresse. En regardant le code de plus près, on peut voir un formulaire qui lance l'élément suivant :
Exemple original
Il s'agit d'un fichier PHP situé à l'adresse « papyrue.com.ng/cgi/default/mr.php » qui généralement livre les informations de connexion des victimes directement aux cybercriminels. Les analystes et les experts de la sécurité d'Avast voient ces cas de figure quotidiennement.
En poursuivant notre traque, nous avons utilisé notre moteur de recherche pour trouver le propriétaire de « papyrue.com.ng ».
Source HTML décodée du site de l'escroc
Grâce à la base de données Whois, nous avons découvert que ce domaine a été enregistré le 14 mars 2016 au nom d'un particulier au Nigeria avec son adresse email.
Nous avons décidé d'aller plus loin.
Page papyrue.com.ng
Nous n'étions pas surpris de constater que le site web papyrue présentait un piètre design peu abouti. Notre investigation sur le serveur de phishing nous a permis d'en découvrir davantage, notamment d'autres fichiers HTML de phishing à foison.
Une autre page de phishing de papyrue codée de la même manière que les autres.
Des versions factices de phishing d'Excel Online, Yahoo et Adobe ont été trouvées sur le répertoire, toutes contenant des fichiers PHP dangereux qui attendaient sagement d'attaquer les systèmes d'utilisateurs du monde entier.
Dans certains échantillons, nous avons découvert des commentaires de l'auteur, un pirate nommé « Alibobo ». Ce nom se cachait derrière de nombreuses tentatives de phishing.
Commentaire du développeur de la page de phishing.
Un échantillon contenait même un lien vers son site web et son adresse email. Grâce au moteur de recherche Whois, nous avons découvert qu'Alibobo venait également du Nigeria.
Le rapport Whois nous a menés à ses réseaux sociaux. Son adresse email a été utilisée pour enregistrer plus de 19 autres domaines, dont certains inactifs. Il s'agissait d'une recherche basée uniquement sur cette adresse d'Alibobo et il doit très certainement en posséder plusieurs. Whois nous a également communiqué son numéro de téléphone ainsi que d'autres informations.
Le rapport Whois sur le site web d'Alibobo
Après avoir effectué quelques recherches sur Google, nous avons trouvé davantage d'informations sur cette personne : des photos sur les réseaux sociaux, les adresses de son domicile et de son lieu de travail et même un profil sur « freelancer.in » où quelqu'un peut faire appel à ses services !
Le profil d'Alibobo sur freelancer.in.
À l'origine de tout malware se cache un trafic d'argent qui attire des hordes de codeurs malveillants tels qu'Alibobo et il existe des milliers, voire des millions de personnes comme lui. Selon ses activités sur les réseaux sociaux, il semblerait que cet auteur de phishing en particulier soit devenu plus prudent au fil du temps mais dès qu'un cybercriminel disparaît, un autre apparaît.
Grâce à quelques connaissances seulement, vous ne tomberez jamais dans le piège du phishing.
Voici quelques règles de base pour ne pas vous faire avoir par une escroquerie de phishing éventuelle :
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Politique de Confidentialité