Lumières sur la sécurité

vendredi 12 mai 2023

Dans les publications du projet Lumières sur la sécurité, nous prêtons souvent attention à la fraude en ligne et parlons des astuces auxquelles les cybercriminels recourent pour tromper les utilisateurs. Le phishing est l'un des types de fraude en ligne les plus courants, basé sur des techniques d'ingénierie sociale. Notamment, dans cette publication, nous avons décrit une fraude ayant utilisé un faux marché en ligne et nous avons expliqué comment l'utilisateur concerné a été trompé, pas à pas.

Pourquoi les pirates utilisent-ils souvent le phishing pour s'enrichir ? Cela est dû au rapport rentable qui existe entre les efforts déployés et les bénéfices obtenus. En règle générale, aucune solution technique complexe n'est impliquée et les victimes remettent elles-mêmes leur argent et/ou leurs données entre les mains de fraudeurs. À cette fin, des astuces diverses, mais souvent simples, sont utilisées, qui fonctionnent grâce à la crédulité et à l'ignorance des utilisateurs. De plus, le développement de l'environnement numérique et l'émergence de nouveaux canaux de communication offrent aux fraudeurs des outils et des opportunités supplémentaires.

Le phishing classique consiste à créer et utiliser de faux sites web. Il s'agit de sites créé par des attaquants et entièrement contrôlé par eux, soit directement conçus pour voler des données et de l'argent, soit en tant qu'intermédiaires dans des stratagèmes frauduleux plus complexes. Dans cette publication du projet Lumières sur la sécurité, nous allons expliquer comment déterminer que vous êtes sur un site de phishing.

Comment êtes-vous arrivé sur le site ?

Pour le premier « lancement d'appâts », les attaquants utilisent activement divers canaux de communication. Les newsletters, SMS, messageries instantanées, réseaux sociaux, bannières publicitaires et même promotion payante de sites dans les moteurs de recherche — tous ces outils sont à la disposition des escrocs pour distribuer des liens vers leurs ressources de phishing. Voici l'exemple le plus simple : vous recevez un SMS provenant d'un numéro inconnu, ce message contient une offre " intéressante " et un lien vers un site. Peu importe à quel point le texte du message est convaincant, avec une probabilité de 99,99%, le lien vous mènera à une ressource de phishing. Toutes les données que vous y entrerez, qu'il s'agisse d'informations personnelles ou de numéros de carte, tomberont entre les mains de pirates. Ainsi, il est important de pouvoir déterminer la tromperie dès la première étape, pour cela, il suffit d'adhérer à une règle simple : tous les liens provenant des inconnus doivent être considérés comme suspects.

Le plus souvent, les escrocs attirent les victimes potentielles avec des fausses promesses et avec la notion de facilité. Gagner facilement de l’argent, trouver un emploi rapidement, faire une rencontre etc. Et des astuces apparemment dépassées sont encore utilisées sur le web et, curieusement, portent leurs fruits.

Il est à noter que les navigateurs modernes empêchent dans certains cas la transition vers les ressources de phishing, mais cette protection ne fonctionne pas toujours. En règle générale, le navigateur interdit de visiter des sites sans certificat numérique pour établir une connexion sécurisée, ou si un tel certificat est invalide. Mais il faut se rappeler que les attaquants contournent facilement ces mesures de sécurité et installent le plus souvent des certificats de sécurité gratuits mais valides sur leurs sites. Par conséquent, la protection la plus fiable sera la pensée critique et l'analyse de ce qui vous a amené sur un site inconnu.

Bien sûr, un lien vers une ressource de phishing peut aussi vous être envoyé par des personnes que vous connaissez (bien souvent à leur insu). Regardons donc d'autres signes.

Il est important d'évaluer l'apparence et la fonctionnalité du site

Les sites de phishing peuvent être divisés en deux grandes catégories : les faux qui imitent les ressources d'entreprises connues et copient leur conception, et les sites qui ne copient pas l'original, mais qui ont leur propre apparence tout en imitant des services légitimes. Les hybrides sont également courants, lorsqu'un site de phishing héberge des logos et des éléments de conception réels d'une entreprise, mais que les pages ne copient pas complètement l'apparence du vrai site. Il peut s'agir, par exemple, d'un site supposé tiers d'une entreprise bien connue. Il faut se rappeler que la tâche principale des escrocs est de gagner la confiance de l'utilisateur. C'est pourquoi, le plus souvent, les ressources de phishing sont déguisées en pages de sites et de services bien connus.

Dans le même temps, presque tous les faux sites ont une caractéristique commune, on peut repérer des erreurs en regardant attentivement le site : fautes d'orthographe, mauvaise mise en page, boutons inopérants etc. Les attaquants tentent de « jeter de la poudre aux yeux » des utilisateurs, et pour cela, ils utilisent des offres alléchantes, des titres accrocheurs, des logos célèbres, de fausses critiques et d'autres astuces. Avec cette approche, la qualité passe au second plan puisqu'ils veulent lancer une ressource frauduleuse très rapidement. Et dans notre cas, c'est exactement ce à quoi vous devez porter une attention particulière. Le plus souvent, le site de phishing ne met en œuvre que les fonctionnalités nécessaires au fonctionnement du stratagème frauduleux. Mais si vous commencez tout simplement à examiner le site de plus près, vous trouverez rapidement des lacunes. Et plus le site est complexe, plus il contiendra d'erreurs.

Regardez le nom de domaine du site

Le nom de domaine du site, qui s'affiche dans la barre d'adresse du navigateur, est un bon indicateur de compromission. Comme il est techniquement impossible d'enregistrer un site avec un nom identique à celui d’un vrai site officiel, lors de la création d'une fausse ressource, les attaquants essaient de sélectionner un domaine de manière à ce qu'il soit aussi similaire que possible au vrai. Par exemple, le nom de domaine d'un site de phishing qui imite Doctor Web pourrait être drveb.fr ou doctorweb.fr. Technique préférée : remplacer certaines lettres ou certains chiffres par des chiffres visuellement similaires ou ajouter des chiffres arbitraires au nom du site. Dans l'article sur le faux marché, nous avons parlé de la façon dont les escrocs qui tenaient une fausse boutique en ligne ayant imité la célèbre marque Shein ont choisi le domaine sheim668. C'est un déguisement très maladroit, mais très souvent, l’internaute ne regarde pas avec précision l’url du site. Dans tous les cas, lorsqu'il y a le moindre doute sur la sécurité d'un site, vous devez vérifier soigneusement son nom de domaine.

Il faut savoir que les attaquants ne peuvent qu'imiter le nom du domaine dit de deuxième niveau, c'est-à-dire le nom de domaine principal du site. Dans le système de noms de domaine, il existe des sites avec plusieurs mots séparés par un point. Par exemple, le site fictif shop.drweb.fr, où « drweb » est un domaine de deuxième niveau et « shop » est un domaine de troisième niveau, ne peut pas être enregistré par des tiers. Tandis que le nom shop.drveb.ru sera déjà un faux.

Examinons le certificat numérique du site

Nous avons parlé des certificats numériques dans cette publication du projet Lumières sur la sécurité. Comme mentionné ci-dessus, les attaquants utilisent activement des certificats numériques gratuits pour contourner la protection et l'authentification intégrées aux navigateurs. Il n'est donc pas surprenant que la connexion avec un site de phishing s'effectue sur un protocole sécurisé HTTPS. Et ici, il est nécessaire de noter une nuance importante.

Le centre de certification le plus populaire qui émet des certificats numériques gratuits est Let' s Encrypt. Grâce à ce service, les créateurs honnêtes de sites personnels peuvent obtenir et installer un certificat, ce qui augmente la confiance des visiteurs, des navigateurs et des moteurs de recherche et permet d'échanger des informations via un canal sécurisé. Mais tous ces avantages peuvent aussi être librement utilisés par les pirates. Les certificats émis par Let' s Encrypt sont installés sur d'innombrables sites de phishing. Et en même temps, ils ne sont presque jamais installés sur les sites Web officiels des grandes entreprises commerciales, dont l'apparence est souvent utilisée par des escrocs. Ainsi, si le site d'une grande boutique en ligne ou d'une grande banque a un certificat Let'sEncrypt, c'est une raison sérieuse de prendre un tel site pour du phishing. La bonne nouvelle est que les informations de certificat ne sont pas difficiles à vérifier par vous-même.

Par exemple, dans le navigateur Chrome, cela se fait comme suit. Dans la barre d'adresse, cliquez sur l'icône de verrouillage à gauche du nom du site. Dans la fenêtre qui s'affiche, sélectionnez Connexion sécurisée, puis Certificat valide. Une nouvelle fenêtre s'ouvre et affiche des informations sur le certificat. Nous sommes intéressés par la section Délivré par. Si vous voyez R3 dans la ligne Common Name (CN) et Let' s Encrypt dans la ligne Organization (O), cela signifie que ce site utilise un certificat numérique de Let' s Encrypt.

Il n'y a rien de mauvais ou de malveillant dans le certificat Let'sEncrypt lui-même. L'idée principale est que les entreprises commerciales utilisent actuellement des certificats numériques payants. Par exemple, Doctor Web utilise un certificat de GlobalSign. Il est évident que, dans la plupart des cas, les pirates ne vont pas recevoir de certificat payant pour un site de phishing qui ne durera probablement pas plus de quelques semaines.

Recherchons des informations sur l'entreprise

Pour identifier un site de phishing, il est parfois utile d'examiner non seulement son apparence et ses fonctionnalités, mais également le contenu lui-même. La section Contacts peut nous en dire beaucoup. Il arrive souvent qu'un site de phishing ne contienne aucune section de contacts, ni des données sur l’entreprise, de même que bien souvent, il n’y aura pas de section « mentions légales », pourtant obligatoire en France, par exemple. Ces éléments sont également de bons indicateurs de compromission du site. De plus, les criminels peuvent remplacer des données et mettre à leur place absolument tout, y compris des données volées, telles que le nom d'une personne morale, numéro de téléphone et adresse légale. En cas de doute, vous devez vérifier séparément ces données sur Internet. Si la ressource est du phishing, il y a une forte probabilité pour que les contacts indiqués ou les informations sur l'entreprise n’aient rien à voir avec ce que les escrocs vous montrent. Si la recherche n'apporte aucun résultat, cela signifie que le site contient des données manifestement incorrectes, ce qui indique également un faux.

Si le site de phishing est une copie conforme de l'original, il est fort probable que les contacts et autres données seront également copiés. Si c'est le cas, d'autres signes pourront vous aider, comme nous avons expliqué ci-dessus, notamment l’URL, l’adresse du site affichée dans la barre du navigateur.

Utilisons de services spécialisés

Lors de la vérification d’un site, il peut également être très utile d’avoir recours à des services spécialisés qui aident à identifier les ressources frauduleuses. Apprenons à les connaître.

Whois

WHOIS est un protocole qui permet à quiconque d'obtenir des informations ouvertes sur les données d'enregistrement par noms de domaine et adresses IP. WHOIS n'est pas un service spécialisé pour identifier les sites de phishing, mais il fournit des données sur la base desquelles il est possible d'identifier une ressource frauduleuse. Pour vérifier, il suffit de copier le nom du site à vérifier et de le coller dans le formulaire WHOIS. En conséquence, un bloc de données sera affiché, dans lequel les lignes Propriétaire et Créé seront les plus représentatives.

Voici un simple exemple. Supposons que lors de la vérification du site d'une entreprise connue en utilisant le service WHOIS, vous avez vu que le propriétaire du domaine est une personne physique (Private Person), et que le site lui-même a été créé il y a quelques semaines. Il semble assez clair que le site n'a rien à voir avec la vraie entreprise et qu’il s’agit très probablement d’un site de phishing. Les sites de grandes entreprises ne sont presque jamais enregistrés au nom de particuliers, et l'enregistrement récent du domaine nous indique également indirectement que le site est faux.

Cependant, il convient de rappeler qu'un site de phishing peut être enregistré auprès d'une société écran, et non d'un individu. Dans ce cas, vous pouvez vous concentrer sur la date de création du domaine, mais il est préférable et plus sûr de vérifier le site à l'aide de services spécialisés.

Vérification du lien à l'aide des services en ligne

Un lien suspect est facile à vérifier à l'aide de services en ligne spécialisés. Par exemple, Doctor Web dispose d'un service qui vous permet de vérifier un lien d'après sa base de données interne, qui est mise à jour quotidiennement par des analystes.

Il existe d'autres services similaires — par exemple, VirusTotal et Phishtank. Ils fonctionnent sur le même principe : l'URL du site à vérifier est insérée dans un formulaire spécialisé, après quoi une recherche est effectuée dans les bases de données des sites de phishing.

Un bémol à noter est qu’il peut toujours y avoir des faux positifs et des faux négatifs. Par exemple, un site de phishing peut ne pas être inclus dans la base de données et, par conséquent, être considéré comme sûr. Ou, au contraire, un site « propre » peut être inclus par erreur dans la base de données. C'est pourquoi, il est important de prendre en compte tous les facteurs.