This page has been robot translated, sorry for typos if any. Original content here.

Phishing sur Internet et méthodes de protection contre le phishing

Фишинг (Phishing)

Le type de fraude le plus répandu sur le Web à l'heure actuelle est le phishing . Les cybercriminels utilisent des sites Web frauduleux, des intercepteurs à clavier, des messages électroniques compilés conformément aux règles de l'ingénierie sociale, etc. Chaque jour, ces méthodes deviennent plus diverses et plus dangereuses.

Phishing , tel que défini par le Dr. Le Web est une technologie de fraude sur le Web qui implique le vol d'informations personnelles, telles que des cartes d'identité et de cartes bancaires, des mots de passe d'accès, etc. À l'aide de vers de courrier électronique et de spams, les victimes potentielles se voient envoyer des lettres, prétendument, légales. organisations. Dans ces lettres, ils sont invités à se rendre sur un faux site Web et à confirmer les codes PIN, les mots de passe et autres informations personnelles qui seront ultérieurement utilisés par les fraudeurs pour voler le compte d'une victime d'argent ou d'autres crimes.

Phishing (Phishing). Ne pas confondre avec la pêche ou le pishing

Le phishing (du phishing, de la pêche - pêche, pêche) est un type de fraude sur Internet ayant pour but d'accéder à des données confidentielles d'utilisateur - identifiants de connexion et mots de passe. Pour ce faire, vous envoyez des e-mails en masse pour le compte de marques populaires, ainsi que des messages personnels au sein de divers services, par exemple pour le compte de banques ou de réseaux sociaux. La lettre contient souvent un lien direct vers un site apparemment impossible à distinguer du présent ou vers un site avec une redirection. Une fois qu'un utilisateur a accédé à une fausse page, les fraudeurs essayent avec différentes méthodes psychologiques de l'encourager à entrer leur nom d'utilisateur et leur mot de passe sur la fausse page, qu'il utilise pour accéder à un site donné, ce qui permet aux fraudeurs d'accéder aux comptes et aux comptes bancaires.

Le phishing est l’une des variétés de l’ingénierie sociale basée sur l’ignorance des bases de la sécurité des réseaux par l’utilisateur: beaucoup ignorent un fait: les services n’envoient pas de lettres leur demandant de fournir leurs identifiants, mot de passe, etc.

En un mot, les assaillants attirent les utilisateurs pour qu'ils divulguent eux-mêmes leurs informations personnelles, telles que les numéros de téléphone, numéros et codes secrets de cartes bancaires, identifiants et mots de passe de courrier électronique et les comptes de réseaux sociaux.

Pour se protéger contre le phishing, les fabricants des principaux navigateurs Internet ont accepté d'utiliser les mêmes méthodes pour informer les utilisateurs qu'ils ont ouvert un site Web suspect, qui peut appartenir à des fraudeurs. Les nouvelles versions de navigateurs disposent déjà de cette fonctionnalité, appelée «anti-hameçonnage».

Selon la société Websense, l'outil le plus populaire pour la création de ressources de phishing est le Rock Phish Kit . Pour le moment, la situation en matière de phishing est très similaire à celle qui prévalait il y a plusieurs années lors de l'écriture de codes malveillants lors de l'apparition de leurs concepteurs.

L'essence du phishing est la suivante: l'attaquant, trompant l'utilisateur, l'oblige à fournir des informations personnelles (informations sur les cartes bancaires, les noms et les mots de passe de différentes ressources, etc.). La principale différence de ce type de fraude est la soumission volontaire d'informations par l'utilisateur. Pour y parvenir, les fraudeurs utilisent activement la technique de l'ingénierie sociale.

Le phishing moderne peut être divisé en 3 types: en ligne , courrier et combo .

Le plus ancien est le courrier phishing : une lettre est envoyée à l'adresse du destinataire lui demandant de lui envoyer des informations.

Le phishing en ligne implique le schéma suivant: les fraudeurs copient les ressources officielles en utilisant des noms de domaine et un design similaires. Alors tout est simple. Un utilisateur ayant visité une telle ressource peut laisser ses données ici en toute confiance, sachant qu'il tombera entre de bonnes mains. En fait, cette information est entre les mains de cybercriminels. Heureusement, il existe maintenant une tendance à accroître la connaissance des utilisateurs sur les mesures élémentaires de la sécurité de l'information. Ce système de fraude perd progressivement de sa pertinence.

Le troisième type est combiné . Son essence réside dans la création d'un faux site Web d'une véritable organisation, à laquelle les fraudeurs tentent d'attirer des victimes potentielles. Dans ce cas, les attaquants proposent aux utilisateurs d'effectuer certaines opérations de manière indépendante. Sur Internet, des avertissements concernant de telles ressources sont signalés presque quotidiennement, ce qui rend ces méthodes de fraude bien connues. À cet égard, les fraudeurs ont commencé à utiliser plus souvent des enregistreurs de frappe - il s'agit de programmes spéciaux qui suivent les frappes au clavier des utilisateurs et envoient ces informations à des adresses prédéterminées.

Comment fonctionne le phishing sur Internet?

La spécificité du phishing est que la victime de fraude fournit volontairement ses données confidentielles.

Pour ce faire, les attaquants utilisent des outils tels que des sites de phishing, la distribution de courrier électronique, une page de destination de phishing, des fenêtres contextuelles et des publicités ciblées.

L'utilisateur reçoit une offre d'inscription ou de confirmation de ses données personnelles sur les sites Web d'entreprises et d'institutions dont il est le client.

En règle générale, les fraudeurs se déguisent en sociétés renommées, en applications de réseautage social et en services de messagerie.

L'adresse électronique de l'expéditeur est très similaire à l'adresse d'un utilisateur familier de l'entreprise.

Comment ne pas se faire prendre par les escrocs?

1

Tout d’abord, rappelez-vous que personne ne doit en aucun cas transférer des données confidentielles telles que le code PIN d’une carte bancaire, le mot de passe d’un e-mail ou d’autres comptes personnels. Ni la banque ni le réseau social ne demanderont ces données par courrier électronique. Si l'appelant vous apparaît en tant que votre fournisseur et pose des questions sur les données confidentielles, il est probablement un fraudeur.

2

Faites toujours attention à la conception du site. Si un site ou une page de destination semble étrange, incomplet, rapide ou suspect, il est fort probable que ce soit un site de phishing.

3

Faites attention à la barre d'adresse dans le lien. Des modifications mineures de l'adresse e-mail peuvent vous mener à un site complètement différent (par exemple, au lieu de ukr.net, il pourrait s'agir de ukl.net).

4

Les lettres d'adresses inconnues qui «exercent une pression sur les émotions» ou qui revêtent un caractère d'urgence doivent avant tout être suspectes. Tous les organismes de crédit, par courrier électronique ou par téléphone, contactent le client par leur prénom et leur nom. Si cela n’est pas indiqué dans l’appel, il est fort probable que la fraude ait lieu. Les e-mails commençant par des déclarations telles que "Votre compte a été piraté!" Ou "Votre profil sera bloqué!" Ou, au contraire, vous déclarez gagnant, sont dans la plupart des cas frauduleux.

5

N'appelez pas la sécurité de votre compte bancaire ou de votre carte de crédit à un numéro de téléphone donné. Toutes les cartes de paiement contiennent un numéro de téléphone spécial, auquel vous devez appeler.

Vishing

Le vishing est l’une des méthodes de fraude en ingénierie sociale, c’est-à-dire que les assaillants, utilisant la communication téléphonique et jouant un certain rôle (employé de banque, client, etc.), sous divers prétextes, obtiennent des informations confidentielles du titulaire de la carte. Stimulez pour effectuer certaines actions avec votre compte de carte / carte de paiement.

Le premier cas de cette fraude en ligne a été enregistré en 2006. C'est un type de phishing et est implémenté à l'aide de numéroteurs de guerre (numéroteurs automatiques), ainsi que de la téléphonie Internet (VoIP). Avec ce type de fraude, les attaquants ont accès à des informations personnelles telles que mots de passe, identifiants et cartes bancaires, etc. Le schéma de tromperie n’est pas très différent du phishing : les utilisateurs du système de paiement reçoivent des messages de l’administration par courrier, dans lesquels ils sont encouragés à envoyer leurs mots de passe. comptes. Mais si, dans le cas du phishing , un lien vers le faux site Web est attaché, l’utilisateur est invité à appeler le numéro de la ville lorsqu'il appelle le phishing . Lorsque vous appelez un message est lu, dans lequel une personne est invitée à divulguer leurs données confidentielles. La difficulté à divulguer ce type de fraude est que le développement de la téléphonie sur Internet vous permet de rediriger les appels d'un numéro de ville vers n'importe où dans le monde et que l'appelant ne le soupçonnera même pas.

Secure Computing a signalé la méthode de triche la plus sophistiquée dans le cadre du système de vishing - le courrier électronique n'a pas été utilisé du tout, car les attaquants ont programmé un PC pour qu'il compose les numéros de téléphone de la base de données et diffuse un message préenregistré dans lequel l'abonné avertissait les informations relatives à son crédit La carte était entre les mains de fraudeurs. Il doit donc entrer un numéro sur le clavier du téléphone.

L'utilisation du protocole VoIP peut réduire considérablement le coût des communications téléphoniques, mais rend également les entreprises beaucoup plus vulnérables aux attaques. Les banques et autres organisations exploitant la téléphonie IP pour les communications vocales peuvent être sujettes à une attaque de virus qui n’est pas encore protégée contre elles. En particulier, The Grugq, un expert en sécurité de l'information qui a parlé de fraude à la conférence sur la sécurité Hack In The Box en Malaisie, en a parlé. «Les attaquants pourront pénétrer librement dans les réseaux bancaires et exercer un contrôle sur les canaux téléphoniques des banques», a déclaré Grugq. Selon lui, les attaques de vising via VoIP auront lieu avant la fin de 2009. Les fraudeurs disposeront d'un accès complet aux informations confidentielles, notamment les données de compte bancaire et les numéros de carte de crédit. Les empêcher de le faire ne peut que des professionnels dans le domaine de la sécurité de l'information. «Théoriquement, un client appelle la banque et la ligne téléphonique est déjà sous le contrôle de pirates informatiques», explique The Grugq. Dans ce cas, le fraudeur demande à l'appelant de fournir des informations sur son compte afin de contacter le service d'assistance bancaire.

«Aucune technologie ne peut garantir aux entreprises la protection contre ce problème», a déclaré l'expert, soulignant que les systèmes actuels ne pouvaient pas déterminer l'attaque VoIP. Pour l’organiser, les attaquants ont besoin d’un logiciel standard prenant en charge la facturation des conversations téléphoniques et la téléphonie IP.

Selon Secure Computing, les fraudeurs configurent le numéroteur de guerre en composant des numéros dans une région donnée. Au moment de la réponse, il se passe ce qui suit:

  • Le répondeur informe l'utilisateur que des activités frauduleuses sont effectuées avec sa carte de crédit et recommande de rappeler rapidement un certain numéro.
  • Une fois que la victime a rappelé le numéro, la «voix de l'ordinateur» y répond, en indiquant que l'utilisateur doit effectuer la vérification et entrer le numéro de la carte à l'aide du clavier du téléphone.
  • Dès que le numéro de carte est entré, le fraudeur reçoit toutes les informations (adresse, numéro de téléphone, nom complet);
  • À l'aide de cet appel, le vérificateur peut également collecter d'autres informations supplémentaires, telles que la date d'expiration de la carte, le code PIN, le numéro de compte bancaire et la date de naissance.

Déclencheurs de vishing de base

  • On vous demande les détails de la carte ... any;
  • Vous êtes constamment obligé d'exécuter une action que vous n'alliez pas effectuer il y a une minute à peine.

Déclencheurs de Visting supplémentaires

  1. Les employés de banque ne demanderont jamais, en aucune circonstance, le code de sécurité au verso de la carte et le code du SMS bancaire.
  2. Sujet troublant du traitement. Pour faire peur à la victime et avoir plus de chances de réaliser l'action souhaitée, les fraudeurs inventent des scénarios effrayants. On signale que la carte est bloquée, le compte est piraté, le parent est en difficulté, etc.
  3. Une promesse d'obtenir facilement de l'argent que vous ne vous attendiez pas à recevoir ou que vous ne pensiez pas recevoir aussi facilement. Pour attirer la victime, les fraudeurs s’engagent à transférer de l’argent sur votre compte avec facilité et rapidité: par exemple, un retraité inattendu a été versé au retraité.
  4. Vous êtes pressé et essayez de convaincre de manière très persistante.
  5. L'appel provient d'un numéro inconnu ou d'un mobile.
  6. Vous êtes assuré qu'avec un guichet automatique, vous pouvez transférer de l'argent de la carte de quelqu'un d'autre à la vôtre.

Le principal "moyen" de se protéger du vishing

  1. Terminez la conversation. Pour continuer, appelez la banque au numéro indiqué au verso de la carte ou sur son site officiel, société / État. structure - par le numéro indiqué sur le site officiel.

"Moyens" supplémentaires de se protéger contre le vishing

  • N'oubliez pas que les employés des banques et des organismes publics ne doivent en aucun cas (y compris les cas de force majeure) appeler les détenteurs de cartes avec l'obligation de fournir un numéro de carte de paiement, sa période de validité et son code CVC2 / CVV2.
  • N'oubliez pas que pour recevoir un transfert sur la carte lors de la vente de biens ou de la victoire, il suffit de spécifier uniquement le numéro de la carte.
  • En aucun cas, ne divulguez le code de sécurité à trois chiffres au verso de la carte (CVV2 / CVC2), ainsi que les codes de SMS bancaires.
  • Ne paniquez pas s’ils vous demandent de bloquer une carte ou d’essayer de pirater un compte. Au lieu de cela, vous devez rappeler à la banque au numéro de téléphone indiqué sur le site officiel de la banque ou sur votre carte plastifiée.
  • Pour être rationnel et raisonnable - ne pas croire les promesses d'argent, dont vous ne vous attendiez pas à recevoir.
  • Vérifiez le numéro de téléphone d'où provient l'appel: il s'agit en fait d'un numéro de téléphone familier de la banque ou tout simplement, et vérifiez également le numéro de téléphone via les moteurs de recherche. Ce numéro de téléphone est peut-être déjà «éclairé» par des fraudeurs.
  • Ne te presse pas. Prenez le temps de vérifier et d'appeler la banque / l'institution nationale au numéro indiqué sur le site Web ou sur la carte, puis de demander à la personne qui vous a appelé.

Que faire si vous devenez une victime?

Bloquez immédiatement la carte, écrivez une déclaration à la banque et à la cyber-police.

Enfin! Si vous trouvez une lettre d'hameçonnage présumée émanant d'une entreprise ou d'un service que vous connaissez, signalez-la au service de la sécurité de l'information de votre travail ou à votre fournisseur.

Via facebook.com et wiki