This page has been robot translated, sorry for typos if any. Original content here.

Phishing sur Internet et méthodes de protection contre le phishing

Фишинг (Phishing)

Le type de fraude le plus répandu sur le Web à l'heure actuelle est le phishing . Les cybercriminels utilisent des sites Web frauduleux, des intercepteurs à clavier, des messages électroniques compilés conformément aux règles de l'ingénierie sociale, etc. Chaque jour, ces méthodes deviennent plus diverses et plus dangereuses.

Phishing , tel que défini par le Dr. Le Web est une technologie de fraude sur le Web qui implique le vol d'informations personnelles, telles que des cartes d'identité et de cartes bancaires, des mots de passe d'accès, etc. À l'aide de vers de courrier électronique et de spams, les victimes potentielles se voient envoyer des lettres, prétendument, légales. organisations. Dans ces lettres, il leur est demandé de consulter un faux site Web et de confirmer les codes PIN, les mots de passe et autres informations personnelles qui seront utilisés ultérieurement par les fraudeurs pour voler le compte d'une victime d'argent ou d'autres crimes.

Phishing Ne pas confondre avec la pêche ou le pishing

Le phishing (du phishing, de la pêche - pêche, pêche) est un type de fraude sur Internet ayant pour but d'accéder à des données confidentielles d'utilisateur - identifiants de connexion et mots de passe. Pour ce faire, vous envoyez des e-mails en masse pour le compte de marques populaires, ainsi que des messages personnels au sein de divers services, par exemple pour le compte de banques ou de réseaux sociaux. La lettre contient souvent un lien direct vers un site qui semble apparemment impossible à distinguer du présent, ou vers un site avec une redirection. Une fois qu'un utilisateur a accédé à une fausse page, les fraudeurs tentent avec diverses techniques psychologiques de l'inviter à entrer leur nom d'utilisateur et leur mot de passe sur la fausse page, qu'ils utilisent pour accéder à un site donné, ce qui permet aux fraudeurs d'accéder aux comptes et aux comptes bancaires.

Le phishing est l’une des variétés de l’ingénierie sociale basée sur l’ignorance des bases de la sécurité des réseaux par l’utilisateur: beaucoup ignorent un fait: les services n’envoient pas de lettres leur demandant de fournir leurs identifiants, mot de passe, etc.

En un mot, les assaillants incitent les utilisateurs à révéler eux-mêmes leurs informations personnelles, telles que les numéros de téléphone, numéros et codes secrets de cartes bancaires, identifiants et mots de passe des adresses de messagerie et des comptes de réseaux sociaux.

Pour se protéger contre le phishing, les fabricants des principaux navigateurs Internet ont accepté d'utiliser les mêmes méthodes pour informer les utilisateurs qu'ils ont ouvert un site Web suspect, qui peut appartenir à des fraudeurs. Les nouvelles versions de navigateurs disposent déjà de cette fonctionnalité, appelée «anti-hameçonnage».

Selon la société Websense, l'outil le plus populaire pour créer des ressources de phishing est le Rock Phish Kit . Pour le moment, la situation en matière de phishing est très similaire à celle qui prévalait il y a plusieurs années lors de l'écriture de codes malveillants lors de l'apparition de leurs concepteurs.

L'essence du phishing est la suivante: l'attaquant, trompant l'utilisateur, l'oblige à fournir des informations personnelles (informations sur les cartes bancaires, les noms et les mots de passe de différentes ressources, etc.). La principale différence de ce type de fraude est la soumission volontaire d'informations par l'utilisateur. Pour y parvenir, les fraudeurs utilisent activement la technique de l'ingénierie sociale.

Le phishing moderne peut être divisé en 3 types: en ligne , email et combo .

Le plus ancien est le courrier phishing : une lettre est envoyée au destinataire avec une demande d'envoi d'informations.

Le phishing en ligne implique le schéma suivant: les fraudeurs copient les ressources officielles en utilisant des noms de domaine et un design similaires. Alors tout est simple. Un utilisateur qui a visité une telle ressource peut laisser ses données ici en toute confiance qu'il tombera entre de bonnes mains. En fait, cette information est entre les mains de cybercriminels. Heureusement, les utilisateurs ont de plus en plus tendance à mieux connaître les mesures de base de la sécurité de l’information. Ce système de fraude perd progressivement de sa pertinence.

Le troisième type est combiné . Son essence réside dans la création d'un faux site Web d'une véritable organisation, vers laquelle les fraudeurs tentent d'attirer des victimes potentielles. Dans ce cas, les attaquants proposent aux utilisateurs d’effectuer certaines opérations de manière indépendante. Sur Internet, des avertissements concernant de telles ressources sont signalés presque quotidiennement, ce qui rend ces méthodes de fraude bien connues. Parallèlement, les fraudeurs ont commencé à utiliser plus souvent des enregistreurs de frappe - il s'agit de programmes spéciaux qui suivent les frappes au clavier des utilisateurs et envoient ces informations à des adresses prédéterminées.

Comment fonctionne le phishing sur Internet?

La spécificité du phishing est que la victime de fraude fournit volontairement ses données confidentielles.

Pour ce faire, les attaquants utilisent des outils tels que des sites de phishing, la distribution de courrier électronique, une page de destination de phishing, des pop-ups et des publicités ciblées.

L'utilisateur reçoit une offre d'inscription ou de confirmation de ses données personnelles sur les sites Web d'entreprises et d'institutions dont il est le client.

En règle générale, les fraudeurs se déguisent en sociétés connues, en applications de réseautage social et en services de messagerie.

L'adresse électronique de l'expéditeur est très similaire à l'adresse d'un utilisateur familier de l'entreprise.

Comment ne pas se faire prendre à l'escroquerie au crochet?

1

Tout d’abord, rappelez-vous que personne ne doit, en aucune circonstance, transférer de telles données confidentielles telles que le code PIN d’une carte bancaire, un mot de passe de messagerie électronique ou d’autres comptes personnels. Ni la banque ni le réseau social ne demanderont ces données par courrier électronique. Si l'appelant vous apparaît en tant que votre fournisseur et pose des questions sur les données sensibles, il est probablement un fraudeur.

2

Faites toujours attention à la conception du site. Si un site ou une page de destination semble étrange, incomplet, accéléré ou suspect, il est fort probable que ce soit un site de phishing.

3

Faites attention à la barre d'adresse dans le lien. Des modifications mineures de l'adresse e-mail peuvent vous mener à un site complètement différent (par exemple, au lieu de ukr.net, il pourrait s'agir de ukl.net).

4

Les lettres d'adresses inconnues qui "exercent une pression sur les émotions" ou qui revêtent un caractère d'urgence doivent avant tout être suspectes. Tous les organismes de crédit, par courrier électronique ou par téléphone, contactent le client par leur prénom et leur nom. Si cela n’est pas indiqué dans l’appel, il est fort probable que la fraude ait lieu. Les lettres commençant par des phrases telles que "Votre compte a été piraté!" Ou "Votre profil sera bloqué!" Ou, au contraire, vous déclarez gagnant, sont dans la plupart des cas frauduleuses.

5

N'appelez pas la sécurité de votre compte bancaire ou de votre carte de crédit à un numéro de téléphone donné. Toutes les cartes de paiement contiennent un numéro de téléphone spécial que vous devez appeler.

Vishing

Le vishing est l’une des méthodes de fraude en ingénierie sociale, c’est-à-dire que les assaillants, utilisant la communication téléphonique et jouant un certain rôle (employé de banque, client, etc.), sous divers prétextes, obtiennent des informations confidentielles du titulaire de la carte. Stimulez pour effectuer certaines actions avec votre compte de carte / carte de paiement.

Le premier cas de cette fraude en ligne a été enregistré en 2006. C'est un type de phishing et est implémenté à l'aide de numéroteurs de guerre (numéroteurs automatiques), ainsi que de la téléphonie Internet (VoIP). Avec ce type de fraude, les attaquants ont accès à des informations personnelles telles que mots de passe, identifiants et cartes bancaires, etc. Le schéma de tromperie n’est pas très différent du phishing : les utilisateurs du système de paiement reçoivent par courrier des messages de l’administration, dans lesquels ils sont encouragés à envoyer leurs mots de passe comptes. Mais si, dans le cas du phishing , un lien vers un faux site Web est attaché, il est invité à appeler le numéro de ville lors du phishing . Lorsque vous appelez un message est lu, dans lequel une personne est invitée à divulguer ses données confidentielles. La difficulté à divulguer ce type de fraude est que le développement de la téléphonie sur Internet vous permet de rediriger les appels d'un numéro de ville vers n'importe où dans le monde et que l'appelant ne le soupçonnera même pas.

Secure Computing a signalé la méthode de triche la plus sophistiquée dans le cadre du système de vishing - le courrier électronique n'a pas été utilisé du tout, car les attaquants ont programmé un PC pour composer les numéros de téléphone à partir de la base de données et diffuser un message préenregistré dans lequel l'abonné avertissait l'information sur son crédit La carte était entre les mains de fraudeurs. Il doit donc entrer un numéro sur le clavier du téléphone.

L'utilisation du protocole VoIP peut réduire considérablement le coût des communications téléphoniques, mais rend également les entreprises beaucoup plus vulnérables aux attaques. Les banques et autres organisations exploitant la téléphonie IP pour les communications vocales peuvent être sujettes à une attaque de virus qui ne bénéficie pas encore d'une protection. En particulier, The Grugq, un expert en sécurité de l’information qui a parlé de fraude à la conférence sur la sécurité Hack In The Box en Malaisie, en a parlé. «Les attaquants pourront pénétrer librement dans les réseaux bancaires et exercer un contrôle sur les canaux téléphoniques des banques», explique Grugq. Selon lui, les attaques de vising via VoIP auront lieu avant la fin de 2009. Les fraudeurs obtiendront un accès complet aux informations confidentielles, notamment les données de compte bancaire et les numéros de carte de crédit. Les empêcher de le faire ne peut que des professionnels dans le domaine de la sécurité de l'information. «Théoriquement, un client appelle la banque et la ligne téléphonique est déjà sous le contrôle de pirates informatiques», explique The Grugq. Dans ce cas, le fraudeur demande à l'appelant de fournir certaines informations de compte pour contacter le service d'assistance bancaire.

«Aucune technologie ne peut garantir aux entreprises la protection contre ce problème», a déclaré l'expert, soulignant que les systèmes actuels ne pouvaient pas déterminer l'attaque VoIP. Pour l’organiser, les attaquants ont besoin d’un logiciel standard prenant en charge la facturation des conversations téléphoniques et la téléphonie IP.

Selon Secure Computing, les fraudeurs configurent un numéroteur de guerre qui compose des numéros dans une région spécifique. Au moment de la réponse, il se passe ce qui suit:

  • Le répondeur informe l'utilisateur que des activités frauduleuses sont effectuées avec sa carte de crédit et recommande de rappeler rapidement un certain numéro.
  • Une fois que la victime a rappelé le numéro, la «voix de l'ordinateur» y répond, en indiquant que l'utilisateur doit effectuer la vérification et entrer le numéro de la carte à l'aide du clavier du téléphone.
  • Une fois le numéro de carte saisi, le fraudeur reçoit toutes les informations (adresse, numéro de téléphone, nom complet);
  • À l'aide de cet appel, le vérificateur peut collecter d'autres informations supplémentaires, telles que la date d'expiration de la carte, le code PIN, le numéro de compte bancaire et la date de naissance.

Déclencheurs de vishing de base

  • On vous demande les détails de la carte ...
  • Vous êtes constamment obligé d'exécuter l'action que vous n'alliez pas effectuer tout à l'heure.

Déclencheurs de Visting supplémentaires

  1. Les employés de banque ne demanderont jamais, en aucune circonstance, le code de sécurité au verso de la carte et le code du message SMS de la banque.
  2. Sujet troublant du traitement. Pour faire peur à la victime et avoir plus de chances de réaliser l'action souhaitée, des fraudeurs proposent des scénarios effrayants. La carte est bloquée, le compte est piraté, le membre de la famille a des problèmes, etc.
  3. Une promesse d'obtenir facilement de l'argent que vous ne vous attendiez pas à recevoir ou que vous ne pensiez pas recevoir aussi facilement. Pour attirer la victime, les fraudeurs s’engagent à transférer de l’argent sur votre compte avec facilité et rapidité: par exemple, un retraité inattendu a été versé au retraité.
  4. Vous êtes pressé et essayez de convaincre de façon très persistante.
  5. L'appel provient d'un numéro inconnu ou d'un mobile.
  6. Vous êtes assuré qu'avec un guichet automatique, vous pouvez transférer de l'argent de la carte de quelqu'un d'autre à la vôtre.

Le principal "moyen" de se protéger du vishing

  1. Terminez la conversation. Pour continuer, appelez la banque au numéro indiqué au dos de la carte ou sur son site officiel, société / État. structure - par le numéro indiqué sur le site officiel.

"Moyens" supplémentaires de se protéger contre le vishing

  • N'oubliez pas que les employés de banques et d'agences gouvernementales ne doivent jamais appeler les détenteurs de cartes de paiement, même en cas de force majeure, avec l'obligation de fournir un numéro de carte de paiement, sa période de validité et son code CVC2 / CVV2.
  • N'oubliez pas que pour recevoir un virement sur la carte lors de la vente de biens ou de la victoire, il suffit de spécifier uniquement le numéro de la carte.
  • En aucun cas, ne divulguez un code de sécurité à trois chiffres au verso de la carte (CVV2 / CVC2), ainsi que des codes de SMS bancaires.
  • Ne paniquez pas s’ils vous demandent de bloquer une carte ou d’essayer de pirater un compte. Au lieu de cela, vous devez rappeler à la banque le numéro de téléphone indiqué sur le site officiel de la banque ou sur votre carte plastifiée.
  • Pour être rationnel et raisonnable - ne pas croire les promesses d'argent, dont vous ne vous attendiez pas à recevoir.
  • Vérifiez le numéro de téléphone d'où provient l'appel: il s'agit en réalité d'un numéro de téléphone familier de la banque ou tout simplement, et vérifiez également le numéro de téléphone via les moteurs de recherche, ce numéro de téléphone est peut-être déjà «éclairé» par des fraudeurs.
  • Ne te presse pas. Prenez le temps de vérifier et d'appeler la banque / l'institution nationale au numéro figurant sur le site Web ou sur la carte, puis de demander à la personne qui vous a appelé.

Que faire si vous devenez une victime?

Immédiatement bloquer la carte, écrivez une déclaration à la banque et cyberpolice

Enfin! Si vous trouvez un courrier électronique de phishing émanant prétendument d'une entreprise ou d'un service que vous connaissez, signalez-le au service de la sécurité de l'information de votre travail ou à votre fournisseur.

Via facebook.com et wiki