Dans les secrets d’un phishing

Le phishing, le filoutage, l’hameçonnage on en entend beaucoup parler. Cette attaque informatique a pour mission d’usurper l’identité d’une marque afin de piéger un client et lui soutirer mot de passe, informations personnelles et/ou données bancaires. ZATAZ va vous montrer la partie cachée d’un phishing histoire de comprendre comment fonctionne les escrocs derrières ces tentatives d’escroqueries.

Le phishing, les internautes en reçoivent des dizaines par semaine. Fournisseur d’Accès à Internet, banques, services publiques (CAF, Impôts, …), boutiques en ligne. Bref, les possibilités pour les pirates sont très nombreuses. Ce que les internautes savent beaucoup moins est que derrière ces attaques se cachent de moins en moins le « petit » escroc en mal d’argent facile. Des groupes organisés se mettent en place pour qu’un phishing soit le plus efficace possible.

Le bon, la brute et le truand

Dans ces groupes, plusieurs « spécialistes ». D’abord celui qui aura la charge de pirater un site web qui servira de lieu de stockage. Il peut acheter un espace déjà préalablement infiltré ou se charger lui-même de l’infiltration. Pour cela, quelques dorks Google bien placés, des exploits connus et l’installation d’un shell (backdoor, porte cachée) permettront d’installer le phishing en question. Selon ses besoins et la réflexion sur l’attaque, le pirate peut aussi créer un nom de domaine se rapprochant le plus possible de la cible visée. Des domaines achetés avec des données bancaires préalablement piratés.

https://twitter.com/Damien_Bancal/status/542276392998928384

Ensuite, arrive le « vendeur » de kit phishing. Comme le montre nos captures écrans, des kits clé en main qui expliquent comment les installer, comment faire de manière à ce que le phishing n’apparaisse qu’à des internautes de certains pays (dans notre cas, une attaque aux couleurs SFR visible uniquement par des Français, NDLR zataz.com), les données à intercepter (certains volent aussi les cookies sauvegardés dans l’ordinateur de l’internaute visiteur, NDLR zataz.com).

Il ne reste plus aux pirates qu’à lancer l’attaque. L’achat de base de données mails finalisera la chose. L’achat permet aux pirates d’avoir des adresses efficaces et « vivantes ». Il peut aussi utiliser des BDD piratées. Certains Google Dorks offrent aussi la possibilité d’extraire de la toile des milliers d’adresses électroniques. Une BDD de mail peut se commercialiser entre 15 et 150 euros (tarifs que nous avons rencontrés sur des sites de blackmarket, NDLR zataz.com) ; un kit phishing peut se vendre (selon les options, ndlr) entre 5 et 100 euros.

Pourquoi ça fonctionne ?

Je reçois souvent des questions de lecteurs s’étonnant de l’efficacité des filoutages. « Pourquoi les gens se font-ils encore piéger ? » – Les pirates jouent sur la masse et la peur de l’internaute d’être radié de son fournisseur d’accès ; de voir ses données bancaires perdues ; de se réjouir d’être remboursé d’une somme d’argent. Bref, du social engineering simple et efficace. Jouer sur la crainte et la précipitation.

Clients #Free, prudence à l'attaque en cours #phishing. URL et site quasi parfaits ! #cyberdefense @zataz #rccyber pic.twitter.com/HXT4sBdzxU

— Damien Bancal (@Damien_Bancal) November 22, 2014

Dernièrement, lors d’une conférence que j’effectuais pour le groupe 3SI, le responsable d’une cyber boutique m’expliquait que sa boutique avait un taux de « contact » de 3%. En gros, lors d’une diffusion d’un mailing, 3% des lecteurs de la publicité voulue se transformaient en clients. Après l’analyse d’une attaque phishing visant son entreprise, le taux de lecteurs piégés était de 10%. Les escrocs sont de plus en plus fins, de plus en plus organisés. La prudence est donc de rigueur. Préférez toujours taper l’url de la société que vous souhaitez visiter en lieu et place de cliquer sur l’url. Assurez-vous, surtout pour les banques, que le https est bien présent (même si j’ai pu croiser des phishing exploitant aussi le https, NDR). Certains navigateurs proposent des options anti filoutage. Seulement, comme le montre les captures écrans, les kits proposent aussi de contrer ces sécurités.

Bref, il est important de continuer à informer sur le sujet, de ne pas banaliser ce genre d’attaque en montrant du doigt les personnes piégées. Attention, certaines banques remboursent de moins en moins ce genre de fraude considérant que les clients filoutés ont suffisamment d’informations pour ne plus se faire avoir. Dernier point, n’hésitez pas à nous remonter les filoutages que vous pouvez recevoir via notre page contact, option « Urgent », ainsi qu’à votre FAI (Orange, FREE, …), aux différents CERT (Banques, Poste, …) ou encore Phishing Initiative.