Dans les secrets d’un phishing

Le phishing, le filoutage, l’hameçonnage on en entend beaucoup parler. Cette attaque informatique a pour mission d’usurper l’identité d’une marque afin de piéger un client et lui soutirer mot de passe, informations personnelles et/ou données bancaires. ZATAZ va vous montrer la partie cachée d’un phishing histoire de comprendre comment fonctionne les escrocs derrières ces tentatives d’escroqueries.

Le phishing, les internautes en reçoivent des dizaines par semaine. Fournisseur d’Accès à Internet, banques, services publiques (CAF, Impôts, …), boutiques en ligne. Bref, les possibilités pour les pirates sont très nombreuses. Ce que les internautes savent beaucoup moins est que derrière ces attaques se cachent de moins en moins le « petit » escroc en mal d’argent facile. Des groupes organisés se mettent en place pour qu’un phishing soit le plus efficace possible.

Le bon, la brute et le truand

Dans ces groupes, plusieurs « spécialistes ». D’abord celui qui aura la charge de pirater un site web qui servira de lieu de stockage. Il peut acheter un espace déjà préalablement infiltré ou se charger lui-même de l’infiltration. Pour cela, quelques dorks Google bien placés, des exploits connus et l’installation d’un shell (backdoor, porte cachée) permettront d’installer le phishing en question. Selon ses besoins et la réflexion sur l’attaque, le pirate peut aussi créer un nom de domaine se rapprochant le plus possible de la cible visée. Des domaines achetés avec des données bancaires préalablement piratés.

https://twitter.com/Damien_Bancal/status/542276392998928384

Ensuite, arrive le « vendeur » de kit phishing. Comme le montre nos captures écrans, des kits clé en main qui expliquent comment les installer, comment faire de manière à ce que le phishing n’apparaisse qu’à des internautes de certains pays (dans notre cas, une attaque aux couleurs SFR visible uniquement par des Français, NDLR zataz.com), les données à intercepter (certains volent aussi les cookies sauvegardés dans l’ordinateur de l’internaute visiteur, NDLR zataz.com).

Il ne reste plus aux pirates qu’à lancer l’attaque. L’achat de base de données mails finalisera la chose. L’achat permet aux pirates d’avoir des adresses efficaces et « vivantes ». Il peut aussi utiliser des BDD piratées. Certains Google Dorks offrent aussi la possibilité d’extraire de la toile des milliers d’adresses électroniques. Une BDD de mail peut se commercialiser entre 15 et 150 euros (tarifs que nous avons rencontrés sur des sites de blackmarket, NDLR zataz.com) ; un kit phishing peut se vendre (selon les options, ndlr) entre 5 et 100 euros.

Pourquoi ça fonctionne ?

Je reçois souvent des questions de lecteurs s’étonnant de l’efficacité des filoutages. « Pourquoi les gens se font-ils encore piéger ? » – Les pirates jouent sur la masse et la peur de l’internaute d’être radié de son fournisseur d’accès ; de voir ses données bancaires perdues ; de se réjouir d’être remboursé d’une somme d’argent. Bref, du social engineering simple et efficace. Jouer sur la crainte et la précipitation.

Dernièrement, lors d’une conférence que j’effectuais pour le groupe 3SI, le responsable d’une cyber boutique m’expliquait que sa boutique avait un taux de « contact » de 3%. En gros, lors d’une diffusion d’un mailing, 3% des lecteurs de la publicité voulue se transformaient en clients. Après l’analyse d’une attaque phishing visant son entreprise, le taux de lecteurs piégés était de 10%. Les escrocs sont de plus en plus fins, de plus en plus organisés. La prudence est donc de rigueur. Préférez toujours taper l’url de la société que vous souhaitez visiter en lieu et place de cliquer sur l’url. Assurez-vous, surtout pour les banques, que le https est bien présent (même si j’ai pu croiser des phishing exploitant aussi le https, NDR). Certains navigateurs proposent des options anti filoutage. Seulement, comme le montre les captures écrans, les kits proposent aussi de contrer ces sécurités.

Bref, il est important de continuer à informer sur le sujet, de ne pas banaliser ce genre d’attaque en montrant du doigt les personnes piégées. Attention, certaines banques remboursent de moins en moins ce genre de fraude considérant que les clients filoutés ont suffisamment d’informations pour ne plus se faire avoir. Dernier point, n’hésitez pas à nous remonter les filoutages que vous pouvez recevoir via notre page contact, option « Urgent », ainsi qu’à votre FAI (Orange, FREE, …), aux différents CERT (Banques, Poste, …) ou encore Phishing Initiative.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.