Transparence et confiance – Nous sommes fières d'être la seule page web de logiciel pour surveiller un téléphone portable, où les utilisateurs peuvent participer et partager leurs avis et leurs expériences avec le logiciel espion. Et comme la transparence est un trait qui nous définit, il nous semble important de préciser que nous recevons parfois une commission, notamment lorsque nos visiteurs cliquent sur l'un des liens qui mènent vers le site web d'une logiciel.

En savoir plus sur notre mode de fonctionnement.

Campagne de Phishing: Comment nous protéger de la fraude sur internet?

Pablo F. Iglesias

Expert en cybersécurité

MIS À JOUR: 16 mars 2022

Comment nous protéger de la fraude sur internet?

Il y a une multitude d’escroqueries sur Internet. C’est une évidence.

Comme dans le monde réel. Là où il y a des affaires et de l’argent, il y a des intérêts secrets et des gens sans scrupules qui font passer leurs intérêts avant ceux des autres, n’ayant aucun problème à tricher pour atteindre le but souhaité, qui en règle générale est d’obtenir de plus grands avantages.

Il en est ainsi, et penser que nous allons le changer avec de la politique ou avec de bons sentiments, c’est être naïf. Et comme nous allons le voir ci-dessous, dans le monde numérique, quelle que soit la sécurité de nos systèmes informatiques, elle ne  sera que de peu d’utilité, car une bonne partie des campagnes de fraude et de phishing les plus actives ne sont pas responsables de compromettre la sécurité de nos ordinateurs mais s’attaquent plutôt au maillon le plus faible de la chaîne, qui n’est autre que l’être humain.

Ainsi, année après année, nous voyons qu’en réalité les principales menaces pour les entreprises et les particuliers ne sont pas les soi-disant virus, mais, comme nous l’avons dit, les campagnes de phishing.

Campagnes qui visent soit à voler les données privées de la victime, soit à l’inciter à installer ou à ouvrir un fichier qui exécute le malware, puis avec l’appareil déjà infecté (non pas parce que l’appareil était en fait vulnérable, mais parce que c’est l’utilisateur lui-même) qui a décidé de l’installer), voler des données, extorquer de l’argent, etc. etc.

Ainsi, la première des choses à faire est de comprendre ce qu’est une campagne de phishing, et surtout comment nous pouvons les identifier. Et pour cela je vais me baser sur notre théorie des 3 éléments qui constituent des campagnes de phishing. Une méthodologie qui s’applique en quelques secondes seulement une fois que vous l’avez internalisée, et qui, comme nous vous l’indiquions, vous évitera de tomber dans la fraude 95% du temps.

Qu’est ce qu’une campagne de phishing?

Fondamentalement, une campagne de phishing est presque toujours le nom technique de la grande majorité des fraudes sur Internet.

Par le biais d’une campagne de phishing, on cherche à inciter la victime à faire quelque chose qui sera négatif pour elle (télécharger et ouvrir un document, mettre ses données

sur une fausse page, payer un produit dans un magasin frauduleux, vous faire envoyer de l’argent via extorsion…).

À une certaine époque, j’ai expliqué comment certaines de ces escroqueries fonctionnent sur Internet … en parlant directement avec les cybercriminels et en suivant leur jeu. Si vous voulez passer un bon moment et voir comment s’est passée mon histoire d’amour avec le capitaine Griest de l’armée américaine, je vous invite à jeter un œil à cet article.

Aujourd’hui, cependant, nous allons nous concentrer sur d’autres types de campagnes de phishing. Ceux qui se présentent comme un service ou une personne connue pour nous tromper, généralement par e-mail, bien que la même chose puisse s’appliquer aux réseaux sociaux ou aux services de messagerie instantanée.

Cet exercice est, en fait, celui que nous donnons à nos étudiants dans les ateliers de cybersécurité.

Nous leur montrons trois e-mails différents, sur lesquels ils peuvent jouer avec tout ce qu’ils veulent, et ils n’ont plus qu’à nous dire s’ils ont affaire à un e-mail légitime ou à une fraude.

Je peux déjà vous dire que la plupart d’entre eux ne peuvent pas tous les identifier.

Et c’est tout simplement  parce que la majeure partie de la société ne sait pas quels éléments font un e-mail légitime ou une simple fraude.

Voyons donc quels sont les trois éléments qui trahissent une campagne de phishing depuis un email (ou un message privé sur les réseaux sociaux, ou une fausse publicité …) vers un autre contenu sûr et légitime.

E-mail que j’ai reçu il y a quelques semaines, soi-disant de mon hébergeur

Les méthodes  d’accroche des campagnes de phishing

Comme vous pouvez le voir dans l’image ci-dessus, j’ai reçu un email avec comme objet:

La boîte aux lettres [mon e-mail] est presque pleine !!

Ils m’ont montré le logo du webmail, que pratiquement tous ceux d’entre nous qui avons un domaine d’entreprise connaissent. Ajoutons à ça  une image qui faisait que sur les 20 Go d’espace dont je dispose, j’en avais déjà un peu plus de 18 occupés, ce qui me donnait la possibilité d’ augmenter encore librement le contenu avec 5 Go d’espace libre.

Ici, nous avons un système d’accroche typique: ils nous offrent quelque chose de vraiment avantageux pour nous, et à priori à un coût marginal (dans ce cas gratuitement). Exactement comme cette autre campagne dans laquelle j’avais gagné un smartphone et où je n’avais à payer que pour qu’il me soit envoyé, et cela pour seulement 1 euro.

Et comme pour tous les types de fraudes, certains des points mentionnés pourraient être vrais:

  • Cela ressemble en général à un email automatique envoyé par le webmail de notre hébergeur. Ce qui, comme je l’ai dit, pourrait être réel, car la plupart deshébergeurs vous avertiront par l’intermédiaire d’un e-mail similaire lorsque votre boîte de réception est sur le point d’être pleine à craquer.
  • Il fixe la limite à 20 Go: ce qui est, en règle générale, un quota de stockage assez courant et donc crédible dans ce type de service de messagerie.
  • Il vous alerte sur les conséquences d’une possible inaction: si notre boîte aux lettres atteint la limite, nous ne recevrons plus de nouveaux e-mails. Et dans ce cas, pour faire en sorte que ça arrive vraiment, ils vous préviennent déjà qu’ils réduiront automatiquement et immédiatement la possibilité de recevoir certains e-mails (les plus lourds). Ce qui vous oblige à nouveau à prendre les mesures appropriées (une autre des stratégies typiques de toutes les campagnes de fraude: simuler l’urgence).
Ces deux champs mis en évidence dans l’image sont essentiels pour savoir si nous sommes confrontés à une fraude ou à un e-mail légitime

Vérifier toujours l’expéditeur

La première chose à faire si nous avons le moindre doute qu’il s’agit bien d’un e-mail légitime ou non, est de vérifier qui nous l’a envoyé.

Et par cela, je veux dire voir les informations d’expédition, pas simplement m’en tenir au nom qui apparaît en tant qu’expéditeur, qui dans ce cas était «Fournisseur de services de messagerie». Je dis cela parce que c’est un champ que tout le monde peut modifier, et au lieu d’avoir mis estro, ils auraient pu y mettre une adresse e-mail « [email protected] » pour faire semblant que l’e-mail provient de Google.

La réalité, dans ce cas, est que le courrier est envoyé depuis radmadengines.com. Un site Web qui n’existe pas, et qui bien sûr n’a rien à voir avec mon hébergement actuel.

De plus, une recherche rapide sur Google du nom de domaine m’amène à une page d’analyse des logiciels malveillants qui le marque comme potentiellement dangereux (ES).

À ce stade, nous devrions donc déjà savoir qu’il s’agit d’une campagne de phishing. Mais il est vrai que si les cyber-attaquants avaient bien fait leurs devoirs, ces données auraient peut-être même été modifiées pour qu’il semble que l’e-mail provient bien de mon véritable hébergeur.

Ces types d’attaques sont connus sous le nom de spoofing d’e-mails, et bien qu’elles ne soient plus si courantes (elles peuvent difficilement être automatisés, et donc elles sont davantage utilisés pour des campagnes d’ingénierie sociale destinées aux entreprises en particulier), on nous oblige à continuer à regarder la totalité des éléments informatifs provenant des campagnes de phishing.

En survolant l’URL liée, nous voyons qu’elle mène à une page qui ne provient pas de notre fournisseur de domaine

Comment savoir si un lien ou un document est légitime?

Si nous ne savons toujours pas si nous sommes confrontés à l’une de ces campagnes de phishing, en raison du sujet présenté, ainsi que des données de l’expéditeur, la prochaine chose que nous devons faire est de vérifier ce qu’ils nous demandent.

Et la grande majorité des campagnes de fraude nous demanderont:

  • Ou entrez sur une page: comme dans ce cas, pour pouvoir activer ces supposés 5 Go supplémentaires de cadeau pour notre boîte de réception.
  • Ou ouvrir un document: où se trouve soit disant la facture ou le bon de livraison qu’ils ont eu à nous envoyer.
  • Nous verrons chaque cas séparément.

Comment identifier un lien malveillant

Le moyen le plus rapide dont nous disposons pour identifier un lien malveillant si nous sommes sur un appareil de bureau est de déplacer la flèche de la souris sur l’URL, de sorte qu’en dessous elle nous montre où va ce lien… sans cliquer (très important)!

Inutile de dire que je ne recommande pas de cliquer sur ces liens, car en plus d’essayer de nous voler, ils peuvent télécharger des codes malveillants qui infectent nos appareils.Et, en passant, dans ce cas, nous pouvons voir comment cette campagne de phishing est bloquée avec le symbole d’un cadenas signifiant « page sécurisée ». Comme je l’ai expliqué il y a quelque temps, SSL, qui est le nom de ce petit verrou, nous informe seulement que les informations seront traitées sous une forme cryptée, mais il ne nous garantit pas que nous les envoyons à un service sûr et légitime.

Je l’ai fait pour préparer ce tutoriel mais à partir d’un navigateur avec tout de désactivé.

Dans ce cas, comme nous pouvons le voir sur l’image ci-dessus, cela nous amène à un site Web créé dans le service de stockage de Google, et qui n’a donc rien à voir avec mon fournisseur de messagerie.

Bien sûr, ils ont bel et bien copié l’interface du service (qui est générique et est donc utilisée par de nombreux hébergeurs différents) afin qu’il semble que nous ayons à faire au bon site web. Cependant, si j’écris mon e-mail dans cette section de mot de passe, vous pouvez être sûr que ces données seront entre les mains de cybercriminels, qui les utiliseront ensuite pour essayer d’entrer dans mes comptes.

En fait, certaines de ces campagnes sont conçues de manière à ce que, dès que vous entrez les données, elles vous redirigent vers le bon site Web, de sorte qu’il arrive parfois que même l’utilisateur ne sait même pas qu’il a été victime de fraude. Il s’agit de l’’une des 7 méthodes les plus courantes pour masquer les URL de campagnes de phishing. Dans tous les autres cas, le site Web vous montrera simplement une erreur ou vous indiquera, comme ce fut le cas avec cette campagne, que les 5 Go supplémentaires avaient déjà été activés.

Dans cette campagne de phishing, ils m’ont emmené sur un site Web téléchargé sur le service de stockage Google avec une interface copiée de roundcube

Comment identifier un fichier malveillant?

A d’autres occasions, au lieu de nous demander de saisir une URL, ils attachent un document que nous devons ouvrir avec n’importe quelle excuse: «voici la facture ou le bon de livraison que vous avez demandé», «voici la liste des gagnants. .. »

Le mieux que nous puissions faire dans ce cas, car bien sûr, si nous l’ouvrons, il est fort probable qu’il soit livré avec une sorte de virus, c’est de le télécharger, mais chose très importante, de le télécharger (SANS L’OUVRIR!) vers le site VirusTotal (ES), qui est un service Web gratuit qui analyse le contenu des fichiers en les comparant à la base de données de divers fournisseurs d’antivirus, pour nous dire s’il y voit ou non un danger potentiel.

De plus, la plupart de ces documents malveillants sont au format Word (.doc, .docx…) ou PDF, et l’avantage est que les nouvelles versions de Microsoft Word ouvrent par défaut tous les documents téléchargés depuis Internet sans charger leurs composants Web. Cela empêche les macros de fonctionner par exemple, ce qui est généralement le principal vecteur d’attaque des campagnes de phishing.

Comment éviter la plupart des campagnes de phishing de manière simple

Il existe un moyen supplémentaire d’éviter d’avoir à faire tous ces contrôles avec la grande majorité des services.

 Cette méthode, vous permet d’utiliser GSuite ou GMail en tant que fournisseur de messagerie.

Aucune inquiétude à avoir, je ne prends pas de commission pour les recommander ni quoi que ce soit de ce genre. C’est simplement qu’au cours de toutes ces années, j’ai vu comment, dans les entreprises dans lesquelles j’ai implémenté GSuite, jusqu’à 99,9% des campagnes de phishing ont été évitées grâce à ça.

De plus, cet e-mail que j’ai utilisé comme exemple a effectivement atteint ma boîte de spam dans GMail. J’ai dû dire de manière rapide et réactive à Google qu’il était sûr  (alors qu’il l’a marqué avec précision comme dangereux) et le supprimer du dossier spam afin de voir le lien (dans ce dossier, je ne pouvais même pas voir l’image, encore moins l’ouvrir).

Google, ou si vous préférez Outlook / Microsoft en plus d’offrir une autre option que la concurrence,propose sans aucun doute possible les meilleurs services en termes de rapport qualité-prix pour protéger nos ordinateurs et nos données personnelles.

Beaucoup moins cher dans tous les cas, et surtout plus sûr, que de mettre en place soi-même un système de sécurité avec des IDE, des pare-feu et autres outils du même genre au sein de l’infrastructure de notre entreprise. N’en parlons même pas en ce qui concerne un usage personnel.

Donc, pour résumer ce qui a été dit. Voici ma recommandation sur la façon d’identifier ces types de campagnes de phishing et ce que je recommanderais pour les éviter presque à coup sûr.

À propos de l'auteur

Pablo F. Iglesias

Expert en cybersécurité

Je m’appelle Pablo F. Iglesias, et je suis avant tout passionné de technologie, avec plus de dix ans d’expérience dans le développement, le marketing et la cybersécurité.

Je gagne ma vie en tant que consultant en présence numérique et en réputation en ligne, même si j’ai également travaillé pour d’autres secteurs comme (R&D pour la téléphonie, Mozilla, BBVA…). Pour faire simple, je suis le président de CyberBrainers Online Reputation Consultancy, et pendant tout ce temps j’ai été le fondateur, co-fondateur, membre et vice-président de plusieurs autres startups et associations liées au monde de la cybersécurité, de la transformation numérique et du marketing.