This page has been robot translated, sorry for typos if any. Original content here.

Phishing sur Internet et méthodes de protection contre le phishing

Фишинг (Phishing)

Le type de fraude le plus répandu sur le Web à l'heure actuelle est le phishing . Les cybercriminels utilisent des sites Web frauduleux, des intercepteurs à clavier, des messages électroniques compilés conformément aux règles de l'ingénierie sociale, etc. Chaque jour, ces méthodes deviennent plus diverses et plus dangereuses.

Phishing , tel que défini par le Dr. Le Web est une technologie de fraude sur le Web qui consiste à voler des informations confidentielles personnelles, telles que des données d'identification et des cartes bancaires, des mots de passe d'accès, etc. En utilisant des vers de messagerie et des spams, les victimes potentielles se voient envoyer des lettres, prétendument, légales. organisations. Dans ces lettres, il leur est demandé de consulter un faux site Web et de confirmer les codes PIN, les mots de passe et autres informations personnelles qui seront ultérieurement utilisés par les fraudeurs pour voler le compte d'une victime d'argent ou d'autres crimes.

Phishing (Phishing). Ne pas confondre avec la pêche ou le pishing

Le phishing (du phishing à la phishing, à la pêche - pêche, pêche) est un type de fraude sur Internet ayant pour but d’accéder à des données confidentielles d’utilisateur - identifiants de connexion et mots de passe. Pour ce faire, vous envoyez des e-mails en masse pour le compte de marques populaires, ainsi que des messages personnels au sein de divers services, par exemple pour le compte de banques ou de réseaux sociaux. La lettre contient souvent un lien direct vers un site qui semble apparemment impossible à distinguer du présent, ou vers un site avec une redirection. Une fois qu'un utilisateur a accédé à une fausse page, les fraudeurs tentent avec diverses techniques psychologiques de l'inviter à entrer leur nom d'utilisateur et leur mot de passe sur la fausse page, qu'il utilise pour accéder à un site donné, permettant ainsi aux fraudeurs d'accéder aux comptes et aux comptes bancaires.

Le phishing est l’une des variétés de l’ingénierie sociale basée sur l’ignorance des bases de la sécurité réseau par l’utilisateur: beaucoup ignorent un fait: les services n’envoient pas de lettres leur demandant de fournir leurs identifiants, mot de passe, etc.

En un mot, les assaillants attirent les utilisateurs pour qu'ils divulguent eux-mêmes leurs données personnelles, par exemple des numéros de téléphone, des numéros et des codes secrets de cartes bancaires, des noms d'utilisateur et des mots de passe de courrier électronique et des comptes de réseaux sociaux.

Pour se protéger contre le phishing, les fabricants des principaux navigateurs Internet ont accepté d'utiliser les mêmes méthodes pour informer les utilisateurs qu'ils ont ouvert un site Web suspect susceptible d'appartenir à un fraudeur. Les nouvelles versions de navigateurs disposent déjà de cette fonctionnalité, appelée «anti-hameçonnage».

Selon la société Websense, l'outil le plus populaire pour créer des ressources de phishing est le Rock Phish Kit . Pour le moment, la situation en matière de phishing est très similaire à celle qui prévalait il y a plusieurs années lors de l’écriture de codes malveillants lors de l’apparition de leurs concepteurs.

L'essence du phishing est la suivante: l'attaquant, trompant l'utilisateur, l'oblige à fournir des informations personnelles (informations sur les cartes bancaires, les noms et les mots de passe de différentes ressources, etc.). La principale différence entre ce type de fraude est la soumission volontaire d'informations par l'utilisateur. Pour y parvenir, les fraudeurs utilisent activement la technique de l'ingénierie sociale.

Le phishing moderne peut être divisé en 3 types: en ligne , mail et combo .

Le plus ancien est le courrier phishing : une lettre est envoyée au destinataire avec une demande d'envoi d'informations.

Le phishing en ligne implique le schéma suivant: les fraudeurs copient les ressources officielles en utilisant des noms de domaine et un design similaires. Alors tout est simple. Un utilisateur ayant visité une telle ressource peut laisser ses données ici en toute confiance, car elles tomberont entre de bonnes mains. En fait, cette information est entre les mains de cybercriminels. Heureusement, les utilisateurs ont maintenant tendance à mieux connaître les mesures élémentaires de sécurité des informations. Ce système de fraude perd progressivement de sa pertinence.

Le troisième type est combiné . Son essence réside dans la création d'un faux site Web d'une véritable organisation, à laquelle les fraudeurs tentent d'attirer des victimes potentielles. Dans ce cas, les attaquants proposent aux utilisateurs d’effectuer certaines opérations de manière indépendante. Sur Internet, des avertissements concernant de telles ressources sont signalés presque quotidiennement, ce qui fait que ces méthodes de fraude sont bien connues. Parallèlement, les fraudeurs ont commencé à utiliser plus souvent des enregistreurs de frappe - il s'agit de programmes spéciaux qui suivent les frappes au clavier des utilisateurs et envoient ces informations à des adresses prédéterminées.

Comment fonctionne le phishing sur Internet?

La spécificité du phishing est que la victime de fraude fournit volontairement ses données confidentielles.

Pour ce faire, les attaquants utilisent des outils tels que des sites de phishing, la distribution de courrier électronique, une page de destination de phishing, des pop-ups et des publicités ciblées.

L'utilisateur reçoit une offre d'inscription ou de confirmation de ses données personnelles sur les sites Web d'entreprises et d'institutions dont il est le client.

En règle générale, les fraudeurs se déguisent en sociétés connues, en applications de réseautage social et en services de messagerie.

L'adresse électronique de l'expéditeur est très similaire à l'adresse d'un utilisateur familier de l'entreprise.

Comment ne pas devenir accro aux escrocs?

1

Tout d’abord, rappelez-vous que personne ne doit, en aucune circonstance, transférer des données confidentielles telles que le code PIN d’une carte bancaire, le mot de passe d’un e-mail ou d’autres comptes personnels. Ni la banque ni le réseau social ne demanderont ces données par courrier électronique. Si l'appelant vous apparaît en tant que votre fournisseur et pose des questions sur les données sensibles, il est probablement un fraudeur.

2

Faites toujours attention à la conception du site. Si un site ou une page de destination semble étrange, incomplet, rapide ou suspect, il est fort probable que ce soit un site de phishing.

3

Faites attention à la barre d'adresse dans le lien. Des modifications mineures de l'adresse e-mail peuvent vous amener à un site complètement différent (par exemple, au lieu de ukr.net, il pourrait s'agir de ukl.net).

4

Les lettres d'adresses inconnues qui «exercent une pression sur les émotions» ou qui revêtent un caractère d'urgence doivent avant tout être suspectes. Tous les organismes de crédit, par courrier électronique ou par téléphone, contactent le client par leur prénom et leur nom. Si cela n’est pas indiqué dans l’appel, il est fort probable que la fraude ait lieu. Les lettres qui commencent par des déclarations telles que "Votre compte a été piraté!" Ou "Votre profil sera bloqué!" Ou, au contraire, vous déclarez gagnant, sont dans la plupart des cas frauduleuses.

5

N'appelez pas la sécurité de votre compte bancaire ou de votre carte de crédit à un numéro de téléphone donné. Toutes les cartes de paiement contiennent un numéro de téléphone spécial auquel vous devez appeler.

Vishing

Le vishing est l’une des méthodes de fraude en ingénierie sociale, c’est-à-dire que les assaillants, utilisant la communication téléphonique et jouant un certain rôle (employé de banque, client, etc.), sous divers prétextes, obtiennent des informations confidentielles du titulaire de la carte. Stimulez pour effectuer certaines actions avec votre compte de carte / carte de paiement.

Le premier cas de cette fraude en ligne a été enregistré en 2006. C'est un type de phishing et est implémenté à l'aide de numéroteurs de guerre (numéroteurs automatiques), ainsi que de la téléphonie Internet (VoIP). Avec ce type de fraude, les attaquants ont accès à des informations personnelles, telles que mots de passe, identifiants et cartes bancaires, etc. Le schéma de tromperie n’est pas très différent du phishing : les utilisateurs du système de paiement reçoivent des messages de l’administration par courrier, dans lesquels ils sont encouragés à envoyer leurs mots de passe. comptes. Mais si, dans le cas du phishing , un lien vers le faux site Web est joint, il est invité à appeler le numéro de ville lors du phishing . Lorsque vous appelez un message est lu, dans lequel une personne est invitée à divulguer leurs données confidentielles. La difficulté à divulguer ce type de fraude est que le développement de la téléphonie sur Internet vous permet de rediriger les appels d'un numéro de ville vers n'importe où dans le monde et que l'appelant ne le soupçonnera même pas.

Secure Computing a signalé la méthode de triche la plus sophistiquée dans le cadre du système de vishing - le courrier électronique n'a pas été utilisé du tout, car les attaquants ont programmé le PC pour qu'il compose les numéros de téléphone à partir de la base de données et diffuse un message pré-enregistré dans lequel l'abonné avertissait les informations relatives à son crédit. La carte était entre les mains de fraudeurs. Il doit donc entrer un numéro à partir du clavier du téléphone.

L'utilisation du protocole VoIP peut réduire considérablement le coût des communications téléphoniques, mais rend également les entreprises beaucoup plus vulnérables aux attaques. Les banques et autres organisations exploitant la téléphonie IP pour les communications vocales peuvent être sujettes à une attaque de virus qui n’est pas encore protégée contre elles. En particulier, The Grugq, un expert en sécurité de l’information qui a parlé de fraude à la conférence sur la sécurité Hack In The Box (HITB) en Malaisie, en a parlé. «Les attaquants pourront pénétrer librement dans les réseaux bancaires et exercer un contrôle sur les canaux téléphoniques des banques», a déclaré Grugq. Selon lui, les attaques de vising via VoIP auront lieu avant la fin de 2009. Les fraudeurs auront un accès complet aux informations confidentielles, y compris les informations de compte bancaire et les numéros de carte de crédit. Les empêcher de le faire ne peut que des professionnels dans le domaine de la sécurité de l'information. «Théoriquement, un client appelle la banque et la ligne téléphonique est déjà sous le contrôle de pirates informatiques», explique The Grugq. Dans ce cas, le fraudeur demande à l'appelant de fournir certaines informations de compte pour contacter le service d'assistance bancaire.

«Aucune technologie ne peut garantir aux entreprises la protection contre ce problème», a déclaré l'expert, soulignant que les systèmes actuels ne pouvaient pas déterminer l'attaque VoIP. Pour l’organiser, les attaquants ont besoin d’un logiciel standard prenant en charge la facturation des conversations téléphoniques et la téléphonie IP.

Selon Secure Computing, les fraudeurs configurent le numéroteur de guerre, composant des numéros dans une région donnée. Au moment de la réponse, il se passe ce qui suit:

  • Le répondeur informe l'utilisateur que des activités frauduleuses sont menées avec sa carte de crédit et recommande de rappeler rapidement un certain numéro.
  • Une fois que la victime a rappelé le numéro, une «voix d'ordinateur» répond, indiquant que l'utilisateur doit passer à travers la vérification et entrer le numéro de la carte à l'aide du clavier du téléphone.
  • Dès que le numéro de carte est entré, le fraudeur reçoit toutes les informations (adresse, numéro de téléphone, nom complet);
  • À l'aide de cet appel, le vérificateur peut également collecter d'autres informations supplémentaires, telles que la date d'expiration de la carte, le code PIN, le numéro de compte bancaire et la date de naissance.

Déclencheurs de vishing de base

  • On vous demande les détails de la carte ...
  • Vous êtes constamment obligé d'exécuter l'action que vous n'alliez pas effectuer il y a une minute.

Déclencheurs de Visting supplémentaires

  1. Les employés de banque ne demanderont en aucun cas le code de sécurité au verso de la carte et le code du message SMS de la banque.
  2. Sujet troublant du traitement. Pour faire peur à la victime et avoir plus de chances de réaliser l'action souhaitée, les fraudeurs inventent des scénarios effrayants. La carte est bloquée, le compte est piraté, le membre de la famille a des problèmes, etc.
  3. Une promesse d'obtenir facilement de l'argent que vous ne vous attendiez pas à recevoir ou que vous ne pensiez pas recevoir aussi facilement. Pour attirer la victime, les fraudeurs s’engagent à transférer de l’argent sur votre compte avec facilité et rapidité: par exemple, un retraité inattendu a été versé au retraité.
  4. Vous êtes pressé et essayez de convaincre de manière très persistante.
  5. L'appel provient d'un numéro inconnu ou d'un mobile.
  6. Vous êtes assuré qu'avec un guichet automatique, vous pouvez transférer de l'argent de la carte de quelqu'un d'autre sur la vôtre.

Le principal "moyen" de se protéger du vishing

  1. Terminez la conversation. Pour continuer, appelez la banque au numéro indiqué au dos de la carte ou sur son site officiel, société / État. structure - par le numéro indiqué sur le site officiel.

"Moyens" supplémentaires de se protéger contre le vishing

  • N'oubliez pas que les employés de banques et d'agences gouvernementales ne doivent jamais appeler les détenteurs de cartes de paiement, même en cas de force majeure, avec l'obligation de fournir un numéro de carte de paiement, sa période de validité et son code CVC2 / CVV2.
  • N'oubliez pas que pour recevoir un virement sur la carte lors de la vente ou de la victoire, il suffit d'indiquer uniquement le numéro de la carte.
  • En aucun cas, ne divulguez le code de sécurité à trois chiffres au verso de la carte (CVV2 / CVC2), ainsi que les codes de SMS bancaires.
  • Ne paniquez pas s’ils vous demandent de bloquer une carte ou d’essayer de pirater un compte. Au lieu de cela, vous devez rappeler à la banque le numéro de téléphone indiqué sur le site officiel de la banque ou sur votre carte plastifiée.
  • Pour être rationnel et raisonnable - ne pas croire les promesses d'argent, dont vous ne vous attendiez pas à recevoir.
  • Vérifiez le numéro de téléphone d'où provient l'appel: il s'agit bien du numéro de téléphone connu de la banque ou tout simplement, et vérifiez également le numéro de téléphone via les moteurs de recherche, ce numéro de téléphone est peut-être déjà «éclairé» par des fraudeurs.
  • Ne te presse pas. Prenez le temps de vérifier et d'appeler la banque / l'institution nationale au numéro indiqué sur le site Web ou sur la carte, puis de demander à la personne qui vous a appelé.

Que faire si vous devenez une victime?

Bloquez immédiatement la carte, écrivez une déclaration à la banque et à la cyber-police.

Enfin! Si vous trouvez un e-mail de phishing émanant prétendument d'une entreprise ou d'un service que vous connaissez, signalez-le au service de sécurité de votre poste ou à votre fournisseur.

Via facebook.com et wiki