Le phishing étape par étape

0

Au cours du premier trimestre de 2016 les cas de spam avec des pièces jointes malveillantes, ils n’ont pas cessé d’augmenter. C’est pour cela que avec le but d’aider les utilisateurs à identifier les e-mails potentiellement malveillants avant qu’ils ne deviennent un problème la société Sophos a partagé des conseils pour réfléchir à 2 fois lorsque vous recevez un message éléctronique.

Vous avez certainement déjà été mis en garde concernant les risques encourus par les utilisateur à propos du phishing en ayant une confiance excessive dans ses courriers électroniques. Cependant, quoi penser des emails provenant de vos amis, collègues, d’un docteur à la réputation irréprochable, ou encore d’un notaire qui présente bien ? Lorsque vous recevez un message provenant d’un compte de messagerie familier, lequel d’entre vous n’est pas tenté de cliquer sur les liens où les pièces jointes qui s’y trouvent, sans même se méfier un instant, chose que nous tous ferions, par contre, dans le cas d’un email en provenance d’un compte inconnu il faut bien sûr être plus attentif. Aujourd’hui nous vous partageons les étapes suivis par une attaque de ce type distribué par Sophos.

Le phishing: petit à petit

Tout a commencé avec un email provenant d’une véritable adresse email (et non d’une sorte de copie), qui incluait la signature email habituelle, avec le numéro de téléphone et l’adresse postale de la personne attaqué. Cet email et sa pièce jointe semblent donc tout à fait appropriés. Mais, en bougeant le curseur de la souris pour ouvrir le document, l’utilisateur a alors remarqué un problème. La pièce jointe s’appelait Drafted Contract003.pdf.htm, une utilisation plutôt futée de la double extension .pdf.htm, qui en fait était une tentative pour le duper en le faisant croire qu’il s’agissait d’un véritable document PDF, au lieu d’un fichier HTM (page web), ce que ce document était vraiment en réalité.

En ouvrant le fichier, au lieu de lancer un visionneur de fichiers PDF, leur navigateur a affiché la fenêtre d’avertissement suivante :

compte-de-messagerie_2

Après avoir refermé cette fenêtre d’alerte, il a été redirigé vers une page de connexion Google tout à fait crédible mais il y avait une autre preuve qu’il s’agissait d’un piège au niveau de la barre d’adresse :

compte-de-messagerie_4

Cette adresse était, quant à elle, clairement pas d’origine Google, d’ailleurs il ne s’agissait pas non plus d’une URL d’un site web. Ce code peut être visualisé si vous ouvrez le fichier HTM dans un éditeur de texte :

compte-de-messagerie_5

Le code source de la page laissé voir que quiconque saisi son identifiant et son mot de passe, verra ces informations personnelles envoyées directement aux cybercriminels et non à Google.

compte-de-messagerie_6

A ce stade, l’utilisateur a alors contacté leur ami pour le prévenir que son compte email avait été piraté et que ce dernier envoyait à son insu des emails d’hameçonnage. Malheureusement, l’histoire ne s’est pas arrêtée là, le jour suivant il a reçu un autre email.

Le deuxième email

Le nouvel email comportait la même signature et semblait encore une fois provenir d’un ami mais, cette fois, il contenait un véritable fichier PDF joint, appelé Financial Statements001.pdf. En l’ouvrant, une image floue apparaissait, avec un lien en haut de cette dernière.

compte-de-messagerie_8

L’image apparaissait bien ainsi, floutée par les cybercriminels pour rendre la quasi intégralité du texte illisible, laissant uniquement le logo de la banque Barclays et un tampon « Approved » lisibles. Cette technique a pour but de vous faire croire qu’un contrat ou un prêt vous concernant a bien été approuvé, et qu’en cliquant sur le lien en haut de la page en question, vous pourrez en savoir plus sur les détails de l’opération.

En réalité, en cliquant sur le lien, vous êtes redirigés vers une page web hébergée sur le même domaine que l’email d’hameçonnage précédent, et qui vous demande encore une fois de vous connecter au niveau d’une fausse page Google.

En vérifiant les données whois concernant les informations relatives au propriétaire du nom de domaine, l’utilisateur a pu s’apercevoir qu’il avait été enregistré la semaine précédente, en utilisant des données personnelles fausses ou volées désignant une femme qui se dénommait à priori Fiona à Lagos, au Nigéria.

A ce stade, il était clair que les cybercriminels ne s’étaient pas contentés de pirater le compte de messagerie de son ami, mais avaient aussi dérobé toutes les informations contenues dans son carnet d’adresses. Ainsi ils pouvaient continuer à le prendre pour cible, mais aussi d’autres amis en utilisant les mêmes données dérobées, mais en partant d’autres adresses email.

phishing

Après avoir constaté l’attaque, l’utilisateur a contacté son ami une nouvelle fois, pour essayer de comprendre comment son compte de messagerie avait été piraté, s’il s’en était rendu compte et surtout si d’autres actions avaient eu lieu. Sans surprise, il est apparu clairement qu’il avait lui-même reçu récemment un email similaire, qui l’avait dupé et incité à rentrer ses identifiants Google. Ainsi, il avait été victime d’hameçonnage, ce qui avait permis de pirater son compte de messagerie.

Ensuite, il a essayé de comprendre les intentions des cybercriminels : étaient-ils juste à la recherche d’identifiants et de mots de passe à revendre sur le Dark Web ? La réponse est devenue limpide lorsqu’il a regardé les filtres en place au niveau de son compte de messagerie.

Les intentions des cybercriminels

Il y avait 20 nouveaux filtres d’emails appelés A, B, C… jusqu’à T. La plupart d’entre eux avaient une thématique commune : n’importe quel email contenant les mots clés en objet ou dans le message, tels que Banque, relevés, ou code guichet étaient automatiquement transférés dans dossier récemment supprimé.

Pour les cybercriminels qui jouent la montre en permanence, et qui sont conscients que les victimes peuvent changer leurs mots de passe à chaque instant, cette technique permet de mettre la main le plus vite possible sur les emails les plus précieux, en les sauvegardant pour une analyse ultérieure. Les derniers filtres ciblaient les emails contenant des références à Contract003.pdf.htm. Ces derniers étaient alors automatiquement envoyés dans un dossier Spam.

emails

En d’autres termes, les emails de n’importe qui aurait tenté d’alerter l’ami au sujet de ce piratage, auraient de toutes les façons fini par disparaître automatiquement dans le dossier Spam sans jamais être ouverts, laissant ainsi aux cybercriminels plus de temps pour profiter de son scam. Il serait logique, à ce stade, de dire tout simplement que la morale de l’histoire est : « ne faites confiance à personne ! », mais depuis Sophos il ne faut pas non plus être pessimiste à ce point.

Comme le mois d’octobre était le mois de la cybersécurité, Sophos nous donne un conseil pratique prendre quelques secondes de réflexion avant d’ouvrir une pièce jointe, ou de cliquer sur un lien peuvent vous éviter de devenir une cible privilégiée vis-à-vis de cybercriminels. Afin de vous protéger contre les emails envoyés de manière frauduleuse par des cybercriminels, la société nous conseille de:

  • Faire attention aux emails envoyés depuis des adresses emails différentes de celles auxquelles vous êtes habitués.
  • Être prudents vis à vis des documents qui vous demandent d’activer les macros, ou bien d’éditer leur contenu avant d’avoir mieux décrypter leurs intentions.
  • Paramétrer Windows Explorer afin qu’il affiche les extensions de fichiers, afin de vous protéger contre les fichiers aux noms trompeurs.
  • Faire attention aux fichiers à double extension (par exemple : .pdf.htm), ou aux extensions inhabituelles (par exemple : .js, .wsf, .lnk).
  • Passer au-dessus des liens en questions avec votre souris, afin de voir s’ils se dirigent là où ils prétendent aller.
  • En cas de doute, appeler ou parler directement à votre ami ou collègue, et demandez-lui s’il vous a bien envoyé un email (n’utilisez pas le numéro dans l’email en question, retrouvez le numéro par un autre moyen !).

En plus, nous vous montrons un chemin à suivre pour identifier les e-mails potentiellement dangereux parce qu’identifier les e-mails malveillants est plus facile que nous pensons normalement. Juste faire attention et prendre la bonne direction.

About Author

Desirée Rodríguez

Directrice de Globb Security France. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply