Il n’y a pas si longtemps, les attaques de phishing étaient assez faciles à repérer pour l’internaute moyen : pleines de fautes de grammaire et d’orthographe, et liens vers de fausses connexions bancaires ou e-mail sur des pages Web non cryptées (http:// vs https://). De plus en plus, cependant, les hameçonneurs améliorent leur jeu, peaufinent leur copie et hébergent des pages frauduleuses sur des connexions https:// – avec l’icône de cadenas vert dans la barre d’adresse du navigateur pour rendre les faux sites plus légitimes.
Une toute nouvelle (et en direct) page de phishing PayPal qui utilise SSL (https://) pour paraître plus légitime.
Selon statistiques publiées cette semaine par une société anti-hameçonnage PhishLabsprès de 25 % de tous les sites de phishing au troisième trimestre de cette année étaient hébergés sur des domaines HTTPS, soit près du double du pourcentage observé au trimestre précédent.
« Il y a un an, moins de trois pour cent du phishing étaient hébergés sur des sites Web utilisant des certificats SSL », a écrit Grue Hassold, le responsable du renseignement sur les menaces de l’entreprise. « Il y a deux ans, ce chiffre était inférieur à un pour cent. »
Une page de phishing Facebook actuellement active qui utilise https.
Comme le montrent les exemples ci-dessus (que BreachTrace a trouvé en quelques minutes de recherche via le service de signalement de site de phishing Phishtank.com), les sites de phishing les plus performants ont tendance à inclure non seulement leurs propres certificats SSL, mais également une partie du domaine phishing dans la fausse adresse.
Pourquoi les hameçonneurs adoptent-ils de manière plus agressive les sites Web HTTPS ? Traditionnellement, de nombreuses pages de phishing sont hébergées sur des sites Web légitimes piratés, auquel cas les attaquants peuvent tirer parti à la fois de la bonne réputation du site et de son certificat SSL.
Pourtant, cela aussi est en train de changer, dit Hassold de PhishLabs.
« Une analyse des attaques de phishing HTTPS du troisième trimestre contre PayPal et Apple, les deux principales cibles de ces attaques, indique que près des trois quarts des sites de phishing HTTPS les ciblant étaient hébergés sur des domaines enregistrés de manière malveillante plutôt que sur des sites Web compromis, ce qui est nettement supérieur à le taux mondial global », a-t-il écrit. « Basé sur les données de 2016un peu moins de la moitié de tous les sites de phishing étaient hébergés sur des domaines enregistrés par un auteur de menaces.
Hassold postule que de plus en plus d’hameçonneurs passent au HTTPS, car cela contribue à augmenter la probabilité que les utilisateurs croient que le site est légitime. Après tout, votre internaute moyen a appris pendant des années à simplement « rechercher l’icône de verrouillage » dans la barre d’adresse du navigateur pour s’assurer qu’un site est sûr.
Peut-être que ce conseil était autrefois utile, mais si c’est le cas, sa fiabilité a diminué au fil des ans. En novembre, PhishLabs a mené un sondage pour voir combien de personnes connaissaient réellement la signification du cadenas vert associé aux sites Web HTTPS.
« Plus de 80% des personnes interrogées pensaient que le cadenas vert indiquait qu’un site Web était soit légitime et/ou sûr, ce qui n’est pas vrai », a-t-il écrit.
Ce que l’icône de cadenas vert indique, c’est que la communication entre votre navigateur et le site Web en question est cryptée ; il ne fait pas grand-chose pour s’assurer que vous communiquez réellement avec le site que vous pensez visiter.
À un niveau supérieur, une autre raison pour laquelle les hameçonneurs adoptent plus largement le HTTPS est que davantage de sites en général utilisent le chiffrement : D’après Let’s Encrypt65 % des pages Web chargées par Firefox en novembre utilisaient HTTPS, contre 45 % fin 2016.
De plus, les hameçonneurs n’ont plus besoin de débourser des frais nominaux chaque fois qu’ils souhaitent obtenir un nouveau certificat SSL. En effet, Let’s Encrypt les donne maintenant gratuitement.
Les principaux fabricants de navigateurs Web travaillent tous avec diligence pour indexer et bloquer les sites de phishing connus, mais vous ne pouvez pas compter sur le navigateur pour vous sauver :
Alors, que pouvez-vous faire pour vous assurer que vous n’êtes pas la prochaine victime de phishing ?
Ne prenez pas l’appât : La plupart des attaques de phishing tentent de vous convaincre que vous devez agir rapidement pour éviter une perte, un coût ou une douleur, généralement en cliquant sur un lien et en « vérifiant » les informations de votre compte, votre nom d’utilisateur, votre mot de passe, etc. sur un faux site. Les e-mails qui mettent l’accent sur l’urgence doivent toujours être considérés comme extrêmement suspects et vous ne devez en aucun cas faire quoi que ce soit suggéré dans l’e-mail.
Les hameçonneurs comptent effrayer les gens pour qu’ils agissent de manière imprudente, car ils savent que leurs sites frauduleux ont une durée de vie limitée ; ils peuvent être fermés à tout moment. La meilleure approche consiste à mettre en signet les sites qui stockent vos informations sensibles ; de cette façon, si vous recevez une communication urgente dont vous n’êtes pas sûr, vous pouvez visiter le site en question manuellement et vous connecter de cette façon. En général, c’est une mauvaise idée de cliquer sur des liens dans un e-mail.
Les liens mentent: Vous êtes nul si vous prenez les liens au pied de la lettre. Par exemple, cela pourrait ressembler à un lien vers Banque d’Amérique, mais je vous assure que non. Pour avoir une idée de l’emplacement d’un lien, survolez-le avec votre souris, puis regardez dans le coin inférieur gauche de la fenêtre du navigateur.
Pourtant, même ces informations ne racontent souvent qu’une partie de l’histoire, et certains liens peuvent être plus difficiles à déchiffrer. Par exemple, de nombreuses banques aiment envoyer des liens qui incluent des URL ridiculement longues qui vont bien au-delà de la capacité du navigateur à afficher le tout lorsque vous survolez le lien.
La partie la plus importante d’un lien est le domaine « racine ». Pour le trouver, recherchez la première barre oblique (/) après la partie « http:// », puis revenez en arrière sur le lien jusqu’à ce que vous atteigniez le deuxième point ; la partie immédiatement à droite est le domaine réel auquel ce lien vous mènera.
Les champs « Depuis » peuvent être falsifiés : Ce n’est pas parce que le message indique dans le champ « De : » qu’il a été envoyé par votre banque que c’est vrai. Ces informations peuvent être et sont fréquemment falsifiées.
Si vous voulez découvrir qui (ou quoi) a envoyé un message, vous devrez examiner les « en-têtes » de l’e-mail, des données importantes incluses dans tous les e-mails. Les en-têtes contiennent beaucoup d’informations qui peuvent être écrasantes pour un œil non averti. Ils sont donc souvent cachés par votre client de messagerie ou votre fournisseur de services, chacun pouvant avoir différentes méthodes pour permettre aux utilisateurs d’afficher ou d’activer les en-têtes.
Décrire succinctement comment lire les en-têtes d’e-mails dans le but de contrecarrer les spammeurs nécessiterait un tutoriel séparé, donc je vais créer un lien vers un bon déjà écrit sur À propos.com. Sachez simplement que prendre le temps d’apprendre à lire les en-têtes est une compétence utile qui en vaut la peine.
Gardez à l’esprit que le phishing peut prendre plusieurs formes : Pourquoi voler un ensemble d’identifiants de connexion pour une seule marque alors que vous pouvez tous les voler ? De plus en plus, les attaquants optent pour des approches qui leur permettent d’installer un cheval de Troie de capture de mot de passe qui vole toutes les données sensibles sur les PC des victimes.
Soyez donc prudent lorsque vous cliquez sur des liens et n’ouvrez pas de pièces jointes dans des e-mails auxquels vous ne vous attendiez pas, même si elles semblent provenir de quelqu’un que vous connaissez. Renvoyez une note à l’expéditeur pour vérifier le contenu et qu’il voulait vraiment l’envoyer. Cette étape peut être pénible, mais je suis un adepte de celle-ci ; Je suis connu pour faire la leçon aux gens qui m’envoient des communiqués de presse et d’autres éléments en pièces jointes non sollicitées.
Si vous ne l’avez pas cherché, ne l’installez pas : Les logiciels malveillants de vol de mot de passe ne viennent pas seulement par e-mail ; assez souvent, il est distribué sous forme de vidéo Facebook qui prétend que vous avez besoin d’un «codec» spécial pour afficher le contenu intégré. Il existe des tonnes de variantes de cette arnaque. Le point à retenir est le suivant : si ce n’était pas votre idée d’installer quelque chose dès le départ, ne le faites pas.
Poser des pièges : Une fois que vous avez maîtrisé les bases ci-dessus, envisagez de poser des pièges aux hameçonneurs, aux escrocs et aux commerçants peu scrupuleux. Certains fournisseurs de messagerie, notamment Gmail – rendre cela particulièrement facile.
Lorsque vous vous inscrivez sur un site qui nécessite une adresse e-mail, pensez à un mot ou une phrase qui représente ce site pour vous, puis ajoutez-le avec un signe « + » juste à gauche du signe « @ » dans votre adresse e-mail . Par exemple, si je m’inscrivais sur example.com, je pourrais donner mon adresse e-mail sous la forme [email protected]. Ensuite, je reviens simplement à Gmail et crée un dossier appelé « Exemple », avec un nouveau filtre qui envoie tout e-mail adressé à cette variante de mon adresse au dossier Exemple.
De cette façon, si quelqu’un d’autre que l’entreprise à qui j’ai donné cette adresse personnalisée commence à la spammer ou à l’hameçonner, cela peut être un indice que example.com a partagé mon adresse avec d’autres (ou qu’elle a été piratée !). Je dois noter ici deux mises en garde. Tout d’abord, bien que cette fonctionnalité fasse partie de la norme de messagerie, tous les fournisseurs de messagerie ne reconnaîtront pas les variations d’adresse comme celles-ci. En outre, de nombreux sites Web commerciaux paniquent s’ils voient autre chose que des chiffres ou des lettres, et peuvent ne pas autoriser l’inclusion d’un signe « + » dans le champ de l’adresse e-mail.