Pensez aux actualités cybersécurité qui ont fait les gros titres ces derniers mois.
Des failles de sécurité comme F**CKWIT et KRACK, d’innombrables attaques de ransomwares, des violations de données toujours plus importantes et massives…
…il existe en effet beaucoup d’exemples, ces derniers mois, qui ont sans aucun doute retenu votre attention.
En revanche, les attaques de phishing font rarement la une de l’actualité ces jours-ci, même si (ou peut-être précisément parce que) il en existe énormément !
D’une certaine manière, le phishing semble être devenu un problème “évident”, que tout le monde a déjà expérimenté au moins une fois, en a tiré les conclusions, s’en est sorti, et est passé à autre chose.
Mais le phishing reste une activité importante pour les cybercriminels: par exemple, rien que la semaine dernière les SophosLabs ont intercepté des attaques de phishing qui cherchaient à utiliser les marques de nombreuses institutions financières.
Parmi les entreprises qui ont eu leurs marques détournées au cours des derniers jours, nous retrouvons: eBay, PayPal, VISA, American Express, Bank of America, Chase, HSBC, National Australia Bank, et il ne s’agit que d’un échantillon pris de manière aléatoire dans la liste, et de plus pour un seul secteur.
Malheureusement, protéger votre marque contre les abus commis par des attaques de phishing est presque impossible, surtout si votre marque est bien connue et largement diffusée.
Chaque fois que vous envoyez un email, publiez un article de blog, rédigez un communiqué de presse ou insérez un logo sur votre site web, vous fournissez une matière première que des cybercriminels utiliseront pour produire leurs propres matériaux via un simple copier/coller.
Ironiquement, moins ils seront originaux et inventifs, plus les copies auront l’air authentique, et moins ils seront susceptibles d’introduire des fautes d’orthographe ou de grammaire, ou des approximations visuelles, qui vous mettraient la puce à l’oreille.
La plupart des attaques de phishing visent des données que vous connaissez bien mais que vous êtes censé garder pour vous, comme:
- Les noms d’utilisateur et les mots de passe pour des comptes existants. Avec les identifiants de connexion, les cybercriminels peuvent se connecter et prendre le contrôle.
- Les numéros de carte de crédit, les dates d’expiration et les codes CVV. Les cybercriminels peuvent les utiliser pour dépenser votre argent ou revendre les données en question à un tiers.
- Les données personnelles que vous ne divulguez pas habituellement. Les cybercriminels peuvent les vendre ou les utiliser pour ouvrir de nouveaux comptes ou contracter des prêts en votre nom.
Le piratage de la marque Netflix
La semaine dernière, une campagne de phishing qui a piraté la marque Netflix a fait les gros titres.
Même si vous êtes un expert pour repérer les attaques de phishing à des kilomètres, il est bon de se faire un petit rappel, de temps en temps, sur ce qui pourrait se passer au cas où, par erreur, vous cliqueriez !
Ainsi, nous avons pensé que cet exemple en particulier méritait une petite “visite guidée” rapide, parce que ce phishing s’en prend à toutes les informations suivantes: il tente en effet de vous inciter à fournir vos identifiants de connexion, vos données de carte de crédit, votre photo d’identité et votre carte d’identité.
Nous avons entendu certaines personnes mentionner différents points de départ pour ce phishing, mais voici ce que nous avons reçu pour nous appâter:
Notez l’astuce très simple utilisée ici, juste en haut au niveau de l’objet, à savoir le fait de ne pas orthographier la marque “Netflix” correctement: les cybercriminels ont écrit le X comme la lettre grecque chi, de sorte que Netflix s’est affiché comme Netfli𝛘.
Rappel: ne cliquez jamais sur des liens de connexion ou sur des liens “mettre à jour votre compte” directement à partir d’emails, car vous ne pouvez savoir où ils vous mèneront.
Créez vos propres sauvegardes pour retrouver vos pages de connexion préférées, et ayez votre propre moyen d’y accéder, justement pour éviter les pièges comme celui-ci:
Notez que ce faux site web possède un cadenas HTTPS, ce qui est un début plutôt prometteur !
Mais un cadenas ne signifie pas que vous pouvez automatiquement faire confiance au site en question.
Dans ce cas, les cybercriminels ont piraté un site qui possédait déjà un certificat HTTPS valide, puis ont uploadé leurs pages de phishing afin qu’elles apparaissent avec un maximum de crédibilité.
En effet, le site piraté est “sécurisé”, car il appartient vraiment à l’entreprise qui est nommée dans le certificat. Mais en réalité, il n’est pas sécurisé du tout, car il propose un contenu non autorisé:
Après avoir fourni votre nom d’utilisateur et votre mot de passe, les cybercriminels veulent aussi les détails de votre carte:
Les cybercriminels ont ajouté une phrase grammaticalement incorrecte en haut de la page, qui devrait vous mettre à la puce à l’oreille, ainsi qu’une URL incorrecte:
Vous devez confirmer vos données personnelles pour pouvoir résoudre ce problème et accéder à votre compte Netflix.
Ironiquement, les cybercriminels n’avaient pas besoin de rajouter cette phrase et auraient pu s’en passer. Ainsi, assurez-vous d’analyser tous les éléments à l’allure suspecte, et traitez-les comme des signes d’avertissement d’une potentielle attaque de phishing.
Ensuite, vous trouverez une fausse page Verified by VISA, qui ne fait rien d’autre qu’afficher ce que vous avez déjà saisi, mais d’une manière qui ajoute une couche de crédibilité, pour essayer de garder votre confiance:
Les cybercriminels veulent vous rassurer à ce stade, parce qu’ils ne veulent pas que vous leur échappiez. En effet, ils vont essayer de tripler la mise en vous demandant votre photo et votre carte d’identité:
Et, enfin, vous serez redirigé vers la véritable page de connexion Netflix …
… sur laquelle vous auriez dû arriver dès le départ, sans l’aide de liens “utiles”, envoyés par un quelconque email.
Quoi faire ?
- Ne cliquez jamais sur un lien de connexion ou un lien de vérification de compte envoyé par email. Si c’est le cas, méfiez-vous !
- Vérifiez le cadenas HTTPS. Si vous n’en trouvez pas, méfiez-vous !
- Cependant si un cadenas est présent, vérifiez le nom du site. S’il ne correspond pas exactement à celui que vous vous attendiez à voir, méfiez-vous !
- Ne passez pas à côté d’indices tels que des fautes d’orthographe et de grammaire. Si vous avez l’impression d’avoir affaire à un faux, méfiez-vous !
- Gardez votre carte d’identité confidentielle. Si on vous demande un selfie ou une pièce d’identité, alors que cela ne semble pas nécessaire, méfiez-vous !
Rappelez-vous, en cas de doute, ne divulguez rien !
Billet inspiré de Netflix phishing campaign goes after your login, credit card, mugshot and ID, sur Sophos nakedsecurity.