Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal
Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com
Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.
Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com
L'école de cybersécurité Cyber Management School
Dans les secrets d’un phishing
Le phishing, le filoutage, l’hameçonnage on en entend beaucoup parler. Cette attaque informatique a pour mission d’usurper l’identité d’une marque afin de piéger un client et lui soutirer mot de passe, informations personnelles et/ou données bancaires. ZATAZ va vous montrer la partie cachée d’un phishing histoire de comprendre comment fonctionne les escrocs derrières ces tentatives d’escroqueries.
Le phishing, les internautes en reçoivent des dizaines par semaine. Fournisseur d’Accès à Internet, banques, services publiques (CAF, Impôts, …), boutiques en ligne. Bref, les possibilités pour les pirates sont très nombreuses. Ce que les internautes savent beaucoup moins est que derrière ces attaques se cachent de moins en moins le « petit » escroc en mal d’argent facile. Des groupes organisés se mettent en place pour qu’un phishing soit le plus efficace possible.
Dans ces groupes, plusieurs « spécialistes ». D’abord celui qui aura la charge de pirater un site web qui servira de lieu de stockage. Il peut acheter un espace déjà préalablement infiltré ou se charger lui-même de l’infiltration. Pour cela, quelques dorks Google bien placés, des exploits connus et l’installation d’un shell (backdoor, porte cachée) permettront d’installer le phishing en question. Selon ses besoins et la réflexion sur l’attaque, le pirate peut aussi créer un nom de domaine se rapprochant le plus possible de la cible visée. Des domaines achetés avec des données bancaires préalablement piratés.
https://twitter.com/Damien_Bancal/status/542276392998928384
Ensuite, arrive le « vendeur » de kit phishing. Comme le montre nos captures écrans, des kits clé en main qui expliquent comment les installer, comment faire de manière à ce que le phishing n’apparaisse qu’à des internautes de certains pays (dans notre cas, une attaque aux couleurs SFR visible uniquement par des Français, NDLR zataz.com), les données à intercepter (certains volent aussi les cookies sauvegardés dans l’ordinateur de l’internaute visiteur, NDLR zataz.com).
Il ne reste plus aux pirates qu’à lancer l’attaque. L’achat de base de données mails finalisera la chose. L’achat permet aux pirates d’avoir des adresses efficaces et « vivantes ». Il peut aussi utiliser des BDD piratées. Certains Google Dorks offrent aussi la possibilité d’extraire de la toile des milliers d’adresses électroniques. Une BDD de mail peut se commercialiser entre 15 et 150 euros (tarifs que nous avons rencontrés sur des sites de blackmarket, NDLR zataz.com) ; un kit phishing peut se vendre (selon les options, ndlr) entre 5 et 100 euros.
Je reçois souvent des questions de lecteurs s’étonnant de l’efficacité des filoutages. « Pourquoi les gens se font-ils encore piéger ? » – Les pirates jouent sur la masse et la peur de l’internaute d’être radié de son fournisseur d’accès ; de voir ses données bancaires perdues ; de se réjouir d’être remboursé d’une somme d’argent. Bref, du social engineering simple et efficace. Jouer sur la crainte et la précipitation.
Dernièrement, lors d’une conférence que j’effectuais pour le groupe 3SI, le responsable d’une cyber boutique m’expliquait que sa boutique avait un taux de « contact » de 3%. En gros, lors d’une diffusion d’un mailing, 3% des lecteurs de la publicité voulue se transformaient en clients. Après l’analyse d’une attaque phishing visant son entreprise, le taux de lecteurs piégés était de 10%. Les escrocs sont de plus en plus fins, de plus en plus organisés. La prudence est donc de rigueur. Préférez toujours taper l’url de la société que vous souhaitez visiter en lieu et place de cliquer sur l’url. Assurez-vous, surtout pour les banques, que le https est bien présent (même si j’ai pu croiser des phishing exploitant aussi le https, NDR). Certains navigateurs proposent des options anti filoutage. Seulement, comme le montre les captures écrans, les kits proposent aussi de contrer ces sécurités.
Bref, il est important de continuer à informer sur le sujet, de ne pas banaliser ce genre d’attaque en montrant du doigt les personnes piégées. Attention, certaines banques remboursent de moins en moins ce genre de fraude considérant que les clients filoutés ont suffisamment d’informations pour ne plus se faire avoir. Dernier point, n’hésitez pas à nous remonter les filoutages que vous pouvez recevoir via notre page contact, option « Urgent », ainsi qu’à votre FAI (Orange, FREE, …), aux différents CERT (Banques, Poste, …) ou encore Phishing Initiative.
Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.SoakSoak, le virus qui se balade dans votre wordpress
La Corée du Nord, le nouvel Irak numérique de l’Oncle Sam ?
Articles connexes
SchenkYou victime d’une violation de données majeure : 6 millions d’enregistrements compromis
L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels
Un pirate informatique s’empare du compte Instagram de McDonald’s pour promouvoir une cryptomonnaie frauduleuse
Le gouvernement Chinois a-t-il caché une backdoor dans des millions de cartes sans contact ?
Fraude bancaire : ça explose en France
Un pirate diffuse plus d’un million de cartes bancaires pour les vacances !
Capgemini piratée par l’un de ses employés
Les billetteries, des zones ciblées par les pirates
Accès illicite aux données clients SMS et messages vocaux !
Phishing : un groupe de cybercriminels stoppé en Ukraine
Peine de mort pour avoir piraté une banque !
Fuite de données chez des marques telles que Timberland, Vans et Napapijri ?
Piratage de France Travail : Voici comment les pirates ont pu opèrer !
Lazarus Group : Hack de HTX et Heco
ZATAZ découvre un nid de hackers avec plus de 1,7 million de victimes
[VIDÉOS] : trois fraudes bancaires totalement folles !
La police canadienne vérifie 175 millions de mots passe
Fuite de données pour les objets connectés passant par Things Mobile ?
Les dessous du piratage informatique : le cas du hacker « CALLO » et ses révélations choc
Un hacker achète massivement des comptes Vinted piratés
Partenaires de ZATAZ
Publicités
Rechercher une info
Calendrier
Les + commentés
Retour du chantage par mail : je vous vois à poil !
Escroquerie : chantage par mail à l'encontre de milliers de Français
Chantage par mail : NON vous n'avez pas été piraté
Publicités
Recherche