Blog GlobalSign

02 juin 2017

Comment repérer un site de phishing

Le terme de phishing — ou hameçonnage — n’est pas nouveau sur ce blog. Dans un précédent billet, nous évoquions les trésors d’ingéniosité déployés par les hackers pour piéger les utilisateurs, notamment par l’envoi d’e-mails de phishing les incitant à télécharger des contenus malveillants ou à se rendre sur des sites Web infectés. Rien qu’en 2016, les attaques de phishing ont explosé de 400 % — tendance qui devrait continuer à progresser cette année. Aujourd’hui, nous repartons en campagne contre le phishing avec au sommaire un autre mode d'attaque : les sites Web de hameçonnage.

L’envoi d’e-mails malveillants n’est qu’un volet du processus de phishing. Le pirate qui fomente ce type d’attaque crée généralement un faux site pour inciter ses victimes à saisir leurs identifiants de connexion et/ou leurs informations bancaires. But de la manœuvre : piéger les utilisateurs pour pouvoir accéder ultérieurement à leurs données. Au fil des ans, les attaques de hameçonnage ont fait des millions de victimes. Preuve de leur terrible efficacité, cette étrange affaire datant de 2013... Un trio de hackers a été arrêté au Royaume-Uni pour avoir tenté d’extorquer près de 60 millions de livres sterling à des clients trop confiants. Le trio avait à cet effet créé plus de 2 600 faux sites bancaires.

Pour vous aider à échapper à ces attaques, nous avons listé les principaux scénarios susceptibles de vous faire atterrir sur des sites de phishing. Suivez nos conseils pour les repérer afin de ne livrer aucune information personnelle.

Comment se retrouve-t-on sur un site de phishing ?

Scénario 1 : ouverture d'un e-mail de phishing — la débâcle de Nick

Commençons avec un scénario familier. Nick peut être fier : il a travaillé dur pendant des années pour préparer sa retraite et a réussi à amasser 1 million de dollars. Quelques mois avant son pot de départ, Nick reçoit des e-mails de sa « banque » lui demandant de mettre à jour ses informations bancaires. Il se connecte alors au « site Web de sa banque » et change ses identifiants de connexion. Le lendemain, toutes ses économies se sont envolées, comme cette femme au Royaume-Uni qui a vécu pareille mésaventure en 2012.

Scénario 2 : Clic sur une publicité suspecte — le dilemme de Mary

Les publicités sont un autre vecteur pour les attaques de phishing. Marie recherche des recettes de pâtisserie faciles sur Internet. Elle tape « recettes faciles de gâteaux » dans Google et sans prêter attention au lien, clique sur une publicité Google intitulée « Recettes faciles de gâteaux aujourd’hui ». L’annonce la renvoie sur une page Web où on lui demande de saisir ses informations de carte bancaire pour recevoir les recettes. Méfiante à la vue de la demande de paiement, Mary quitte rapidement la page Web. Elle a eu chaud : ce type de fausses annonces Google Ads était déjà utilisé en 2014 pour lancer des attaques de phishing.

Scénario 3 : Reconnaître une fausse page de connexion — le fiasco de Sophia

Les phisheurs ne reculent devant rien pour mettre la main sur vos informations. Prenons le cas de Sophia qui souhaite refaire son passeport. Dans son moteur de recherche, Sophia tape le nom de l'agence gouvernementale responsable de l’émission des passeports et clique sur le premier lien qu’elle voit. Tout lui semble en ordre, notamment sur la page de connexion. Elle saisit donc ses informations de connexion et les informations nécessaires à l’établissement de son passeport. Une fois les renseignements communiqués, elle s’étonne cependant de ne recevoir aucune réponse de la part de l'agence. Le lendemain, elle s’aperçoit que ses comptes ont été piratés, comme de nombreux citoyens de Singapour, victimes d’attaques de phishing sur les pages de connexion usurpées de sites d'agences gouvernementales.

Scénario 4 : Interactions sur les médias sociaux — les ennuis de Ron sur Twitter

Ron avait un problème avec sa banque. Pensant obtenir une réponse plus rapide via Twitter, il fait part de son souci sur le compte Twitter de la banque. En quelques heures, un « conseiller bancaire » lui répond en lui communiquant le lien vers la « page d’assistance de la banque ». Ron n'a pas cru le « conseiller »... Il savait pertinemment qu'il ne faut jamais faire confiance à des comptes Twitter non vérifiés. Ron a fait l’expérience de l’une des attaques de phishing les plus courantes sur les réseaux sociaux. Heureusement pour lui, il l’a évitée.

Conseils pour repérer un site de phishing

Tous ces scénarios s’inspirent d’attaques et d’arnaques de phishing bien réelles. Si Nick, Mary, Sophia et Ron sont des personnages de fiction, les menaces qu’ils ont rencontrées existent bel et bien. Voici quelques conseils pour ne pas tomber dans le panneau de ces sites dangereux. On peut diviser nos solutions en deux catégories.

Avant de cliquer

Avant de cliquer, vérifiez et étudiez toujours l’URL. Chaque fois que quelqu'un vous envoie un lien par e-mail ou via les réseaux sociaux, ou n'importe quelle plateforme, prenez le temps d'étudier l'URL avant de cliquer. Pas besoin d’être un expert pour détecter une URL suspecte. Certaines choses doivent vous alerter dans le lien. Les liens factices imitent généralement des sites bien connus en ajoutant bien souvent des mots inutiles et des domaines.

Avant de cliquer sur un lien, survolez le texte. Dans l’exemple ci-après, étudié en détail dans notre billet précédent, on voit que l’URL vers laquelle le texte « cliquez ici » renvoie correspond à http://globalsign.uk.virus-control.com/b4df29/?login_id=1817... Plusieurs éléments devraient vous mettre la puce à l’oreille : 1) globalsign.uk n’est pas un domaine GlobalSign légitime ; 2) le domaine contient la chaîne supplémentaire « virus-control » ; et 3) la longue chaîne de caractères à la fin de l’URL est inhabituelle.

how to spot a phishing link in an email

Identifiez la source du lien. Connaissez-vous l’expéditeur du lien ? Si vous avez le moindre doute, ne cliquez pas sur le lien. Dans l’exemple précédent, Ron a senti que le conseiller était louche et n’a pas cliqué sur le lien factice qui lui avait été envoyé. Les phisheurs génèrent de fausses personnalités, de la plus improbable (une « Autorité bancaire de confiance » très générique) à la plus convaincante (John Smith chez J.P. Morgan Chase & Co). Vérifiez par conséquent les personnes avec qui vous interagissez et assurez-vous de leur légitimité.

Après avoir cliqué

Vérifiez et étudiez l’URL AVANT de saisir des informations. Supposons que vous ayez accidentellement cliqué sur un lien de phishing. Ne paniquez pas. Du moins, pas tout de suite. Comme indiqué plus haut, recherchez dans l’URL de la page Web les signaux d’alerte les plus évidents. Les adresses de sites Web factices affichent beaucoup de caractères superflus dans la barre d'adresse ou des chaînes de texte supplémentaires.

Prenez l’exemple ci-dessous tiré de l’arnaque Gmail qui a circulé plus tôt cette année. Malgré la chaîne « accounts.google.com » qui lui confère une apparente légitimité, l’ajout de texte devant l’adresse devrait vous alerter. Et pour cause, il s’agit d'un site de phishing ou d'un site infecté.

Check and study the URL BEFORE logging any information

(Source : PCMag)

Recherchez la présence d'un sceau de confiance sur la page. La plupart des sites légitimes ont recours aux sceaux de confiance, ces marques visuelles délivrées par une tierce partie, pour indiquer qu’ils prennent la sécurité très au sérieux (en affichant, par exemple un score de confiance, les sites de vente ou une indication sur le chiffrement SSL/TLS du site). On recommande généralement l’installation d’une marque de confiance ou d’un sceau de site sécurisé sur les pages dédiées à la saisie d’informations de connexion ou de paiement afin de rassurer les internautes sur la légitimité du site. Recherchez sur la page les signes de présence d'un sceau de confiance et vérifiez que le fournisseur du sceau est une société de sécurité en ligne connue. Ces sceaux sont souvent interactifs. Cliquez dessus pour plus d'informations sur le site.

Consultez les informations sur l’organisation dans la barre d’adresse. Les certificats SSL/TLS jouent un rôle essentiel dans la sécurité sur le Web : ils chiffrent les sessions et protègent les informations qui sont transférées entre les navigateurs et les serveurs Web. Le certificat SSL à validation étendue (EV) offre le niveau de sécurité SSL maximum du fait qu’ils indiquent une information supplémentaire importante. En effet, ils affichent clairement l’identité vérifiée de l’exploitant du site dans l’interface du navigateur, le plus souvent dans une barre d’adresse verte.

ev green bar example

Cela permet de savoir immédiatement si le site est exploité par la société qui se présente comme l'opérateur légitime du site, et qu'il ne s’agit pas d'un site de phishing ou d'un usurpateur. La majorité des grandes marques leaders — cibles principales des pirates — ont adopté le certificat EV SSL. Pour vérifier quel est le site sur lequel vous vous trouvez, vous pouvez par exemple rechercher le nom de l’entreprise dans l’URL. Devant l’explosion et la sophistication croissante des attaques, j’espère que la validation étendue sera adoptée par un nombre croissant d'entreprises désireuses de créer une distinction nette entre leurs sites, et ceux d'imposteurs malveillants.

Vérifiez que l’adresse du site n’est pas un homographe. Certains navigateurs ne comprennent pas les langues étrangères comme l’alphabet cyrillique. Un hacker peut enregistrer un domaine du type xn--pple-43d.com, soit l'équivalent d'apple.com et acheter un SSL pour ce domaine. Connue sous le nom de « script spoofing », cette technique correspond à du détournement de script. L’alphabet cyrillique comprend 11 glyphes qui ressemblent trait pour trait à leurs équivalents de l’alphabet latin. D’autres alphabets comportent des glyphes semblables au latin dans les polices de caractères actuelles : les alphabets grec, arménien, hébreu et chinois. Avec un nombre suffisant de combinaisons, vous pouvez créer un faux domaine et le sécuriser de sorte qu’il soit pratiquement impossible de distinguer le vrai du faux.

homograph cyber attack

J’ai dit « pratiquement » impossible ! Car il existe bel et bien un moyen de repérer ce type d'attaque. Si vous doutez de l’authenticité d’un lien, copiez-le et collez-le dans un autre onglet…

homograph cyber attack

Ce n’est pas plus compliqué que cela. La véritable nature du domaine se révèle instantanément. Vous savez alors que le site n’est pas digne de confiance.

Pour repérer ces homographes, cliquez pour afficher les détails du certificat et le domaine couvert. Dans l’exemple plus haut, vous verriez ainsi que le certificat a été émis à « https://www.xn--80ak6aa92e.com/ » et non à « apple.com ».

Les attaques de phishing pourraient se développer dans les années à venir, mais tant que vous saurez les prévenir, ces médiocres stratagèmes feront de moins en moins de victimes. La meilleure défense contre les hackers est de bien connaître leurs sales ruses. Et j’espère que ce billet vous aura aidé à muscler votre arsenal mental.

Pour en savoir plus sur les certificats SSL/TLS et leur rôle pour la sécurité en ligne, consultez notre site ou contactez-nous directement.

Partager ce blog