[Les Dossiers de la Cybersécurité] Le Phishing 2.0

SFR revient sur ce fléau qu’est le phishing, en abordant ses formes les plus subtiles et modernes.

Nous vous avons déjà parlé du phishing dans un précédent Dossier de la Cybersécurité, ainsi que des moyens de s’en protéger. Comme toutes pratiques frauduleuses utilisant Internet, le phishing évolue avec son temps, il est donc important de connaître ses formes les plus récentes pour s’en prémunir.

Le Phishing sur les forums et chats en ligne

Les faux mails ou SMS vous demandant de cliquer sur un lien douteux pour une raison ou pour une autre, vous connaissez. Mais savez-vous qu’il existe des moyens plus insidieux pour diffuser ces fameux liens ? Sur un forum ou un chat, vous pouvez retrouver des profils qui sont en fait des “bots”, des programmes automatisés ayant l’air de personnes réelles, mais qui ne sont là que pour afficher des sites Web frauduleux. Ici, pas question de vous inciter à les visiter, seule la curiosité vous poussera à cliquer…

Ces bots rassemblent les publications des autres utilisateurs de chats ou forums et se servent de bribes pour créer des phrases construites, en rapport avec le sujet discuté. Malin non ? Voici un exemple :

On voit bien les petits liens en fin de message ou en signature… C’est d’ailleurs la seule manière d’identifier à 100 % un bot de ce genre, alors gardez l'œil ouvert et surtout ne cliquez pas !

Rassurez-vous, sur la Communauté SFR, un logiciel “capture” automatiquement les messages de ce genre avant publication, et si l’un d’eux passe entre les mailles du filet, les Community Managers veillent au grain pour le retirer rapidement ;).

Le Phishing sur sites Web, ou Spoofing

Un classique, mais qui se modernise aussi. Vous arrivez sur le site Web de votre banque ou l’espace client d’un de vos services, vous vérifiez bien qu’il s’agit d’un site sécurisé (le cadenas dans la barre d’adresse et l’URL qui démarre bien par HTTPS), puis entrez vos identifiants en confiance. Pourtant, il s’agit bien d’une copie frauduleuse du site Web initial. De plus en plus de faux sites utilisent des certificats HTTPS et SSL, attestant d’une connexion sécurisée, et trompent ainsi plus facilement les internautes.

Pour se protéger, pas de secret : ne cliquez jamais sur un lien contenu dans un mail/SMS ou autre s’il vous redirige vers un service que vous utilisez en vous demandant de vous identifier. Entrez vous-même l’URL “de base” (ex : www.sfr.fr), et vous aurez l’assurance d’être sur le bon site.

Le Phishing au téléphone

La forme la plus retorse de phishing, puisqu’elle est souvent faite en direct, au téléphone par exemple, en se basant sur ce qu’on appelle l’ingénierie sociale.

Une personne vous appelle en se faisant passer pour votre opérateur Internet, votre banque, ou tout autre service légitime. Grâce à des informations sur vous, récupérées de manière illégales ou non (on peut apprendre beaucoup de choses sur quelqu’un simplement en fouillant les réseaux sociaux), elle va vous mettre dans une situation de confiance (elle possède des informations privées après tout), mais aussi de stress (il y a un gros souci sur votre PC, votre compte bancaire...).

Suite à cette manipulation psychologique, le pirate vous convainc d’installer un logiciel de contrôle à distance de votre PC, de vous connecter à votre espace client X ou Y et, sous couvert de vous débarrasser de virus imaginaires, récupère tous les identifiants et mots de passe dont il a besoin.

Comme pour le spoofing, il est très simple de se protéger de ce procédé : partez du principe qu’aucun service de ce genre (Fournisseur d’Accès Internet, Banque, sites marchands…) ne vous demandera au téléphone de prendre le contrôle de votre PC. Si on vous en fait la demande, raccrochez immédiatement et, en cas de doute, contactez vous-même le service concerné afin de vérifier que l'appel vient d’eux.

Vous l’avez compris, si les pirates redoublent d’efforts pour trouver de nouvelles formes de phishing, la prudence et le bon sens arrivent facilement à en venir à bout :).

En plus de ces conseils, n’oubliez pas les bons réflexes à adopter en cas de réception d’un mail ou SMS suspect. Vous en avez d’autres ? Partagez-les avec la Communauté en commentaires !