This page has been robot translated, sorry for typos if any. Original content here.

Techniques de phishing sur Internet et anti-phishing

Фишинг (Phishing)

Le type de fraude en ligne le plus populaire actuellement est le phishing . Les cybercriminels utilisent des sites Web frauduleux, des intercepteurs à clavier et des messages électroniques compilés conformément aux règles de l'ingénierie sociale, entre autres, qui deviennent chaque jour plus diversifiés et dangereux.

Phishing tel que défini par le Dr. Le Web est une technologie de fraude sur le Web qui consiste à voler des informations personnelles confidentielles, telles que des données d'identification et des cartes bancaires, des mots de passe d'accès, etc. À l'aide de «vers» et de mailings de spam, des lettres sont envoyées à des victimes potentielles pour le compte de tiers présumés légaux. organisations. Dans ces lettres, il leur est demandé de visiter un faux site Web et de confirmer les codes PIN, les mots de passe et autres informations personnelles qui seront utilisés ultérieurement par des fraudeurs pour voler de l’argent sur le compte de la victime ou d’autres crimes.

Phishing Ne pas confondre avec la pêche ou le pishing

L'hameçonnage (ing., Phishing, tiré de la pêche - pêche, pêche) est un type de fraude sur Internet ayant pour but d'accéder à des données confidentielles d'utilisateur - identifiants de connexion et mots de passe. Pour ce faire, vous envoyez des e-mails en masse pour le compte de marques populaires, ainsi que des messages privés au sein de divers services, par exemple pour le compte de banques ou de réseaux sociaux. La lettre contient souvent un lien direct vers un site qui semble apparemment impossible à distinguer du présent, ou vers un site avec une redirection. Une fois qu'un utilisateur atterrit sur une fausse page, les fraudeurs tentent par diverses astuces psychologiques de l'inviter à saisir leur nom d'utilisateur et leur mot de passe sur une fausse page, qu'il utilise pour accéder à un site particulier, ce qui permet aux fraudeurs d'accéder aux comptes et aux comptes bancaires.

Le phishing est l'un des types d'ingénierie sociale basés sur des utilisateurs ne connaissant pas les bases de la sécurité réseau: beaucoup ignorent un fait: les services n'envoient pas de lettres demandant leurs identifiants, mot de passe, etc.

En un mot, les assaillants incitent les utilisateurs à révéler leurs données personnelles, par exemple des numéros de téléphone, des numéros et des codes secrets de cartes bancaires, des noms d'utilisateur et des mots de passe de comptes de messagerie et de réseaux sociaux.

Pour se protéger contre le phishing, les fabricants des principaux navigateurs Internet ont accepté d'utiliser les mêmes méthodes pour informer les utilisateurs qu'ils ont ouvert un site suspect pouvant appartenir à des fraudeurs. Les versions les plus récentes des navigateurs disposent déjà de cette fonctionnalité, appelée en conséquence "anti-hameçonnage".

Selon Websense, l’outil le plus populaire pour la création de ressources de phishing est le Rock Phish Kit . Pour le moment, la situation en matière de phishing est très similaire à celle qui prévalait il y a plusieurs années lors de l'écriture de codes malveillants lors de l'apparition de leurs concepteurs.

L'essentiel du phishing est le suivant: un attaquant, trompant un utilisateur, l'oblige à fournir des informations personnelles (informations sur les cartes bancaires, les noms et les mots de passe de différentes ressources, etc.). La principale différence entre ce type de fraude est la communication volontaire par l'utilisateur de ses informations. Pour y parvenir, les fraudeurs utilisent activement la technique de l'ingénierie sociale.

Le phishing moderne peut être divisé en 3 types: en ligne , par courrier électronique et combiné .

Le plus ancien est le courrier phishing : une lettre est envoyée à l'adresse du destinataire avec une demande d'envoi d'informations.

Le phishing en ligne implique le schéma suivant: les fraudeurs copient les ressources officielles en utilisant des noms de domaine et un design similaires. Alors tout est simple. Un utilisateur qui visite une telle ressource peut laisser ses données ici en toute confiance qu'il tombera entre des mains fiables. En fait, cette information est entre les mains de cybercriminels. Heureusement, les utilisateurs ont maintenant tendance à mieux connaître les mesures élémentaires de sécurité des informations. Ce système de fraude perd progressivement de sa pertinence.

Le troisième type est combiné . Son essence est de créer un faux site Web d'une véritable organisation, sur laquelle des fraudeurs tentent d'attirer des victimes potentielles. Dans ce cas, les attaquants proposent aux utilisateurs d’effectuer certaines opérations de manière indépendante. Presque tous les jours, sur Internet, des avertissements concernant de telles ressources font connaître ces méthodes de fraude. À cet égard, les fraudeurs ont commencé à utiliser plus souvent des enregistreurs de frappe - il s'agit de programmes spéciaux qui suivent les frappes au clavier des utilisateurs et envoient ces informations à des adresses prédéfinies.

Comment fonctionne le phishing sur Internet?

La spécificité du phishing est que la victime de fraude fournit volontairement ses données confidentielles.

Pour ce faire, les attaquants utilisent des outils tels que des sites de phishing, des newsletters par courrier électronique, des pages de destination de phishing, des pop-ups et des publicités ciblées.

L'utilisateur reçoit une offre pour s'inscrire afin de bénéficier de tout avantage ou pour confirmer ses données personnelles sur les sites Web d'entreprises et d'institutions dont il est prétendument un client.

En règle générale, les fraudeurs se déguisent en sociétés connues, en applications de réseautage social et en services de messagerie.

L’adresse e-mail de l’expéditeur est très similaire à celle de la société connue de l’utilisateur.

Comment ne pas devenir accro aux escrocs?

1

Tout d’abord, rappelez-vous que personne ne doit en aucun cas transmettre des données confidentielles telles qu’un code PIN de carte bancaire, un mot de passe de messagerie ou d’autres comptes personnels. Ni la banque ni le réseau social ne demanderont ces données par courrier électronique. Si l'appelant vous apparaît en tant que votre fournisseur et pose des questions sur les données sensibles, il est très probablement un arnaqueur.

2

Faites toujours attention à la conception du site. Si le site ou la page de destination semble étrange, inachevé, rivé à la hâte ou suscite des soupçons, il peut très bien s'agir d'un site de phishing.

3

Faites attention à la barre d'adresse dans le lien de saut. Des modifications mineures de l'adresse e-mail peuvent vous conduire à un site complètement différent (par exemple, ukl.net peut être à la place de ukr.net).

4

Les lettres d'adresses inconnues qui «poussent les émotions» ou sont de nature urgente doivent avant tout être suspectes. Tous les organismes de crédit, par e-mail ou par téléphone, contactent le client par son nom et prénom. Si cela n’est pas indiqué dans l’appel, il est fort probable qu’il y ait fraude. Les e-mails commençant par des déclarations telles que "Votre compte a été piraté!" Ou "Votre profil sera bloqué!" Ou, au contraire, vous annonçant un gain important, sont dans la plupart des cas frauduleux.

5

En aucun cas, n'appelez pas sur la sécurité de votre compte bancaire ou de votre carte de crédit au numéro de téléphone proposé. Toutes les cartes de paiement indiquent un numéro de téléphone spécial que vous devez appeler.

Vishing

Le souhait est une des méthodes de fraude utilisant l'ingénierie sociale, qui consiste en ce que des cybercriminels utilisant la communication téléphonique et jouant un rôle (employé de banque, client, etc.), sous divers prétextes, trompent des informations confidentielles du titulaire de la carte de paiement ou Stimulez pour effectuer certaines actions avec votre compte de carte / carte de paiement.

Le premier cas de cette fraude en ligne a été enregistré en 2006. C'est un type de phishing et est implémenté à l'aide de dialers de guerre (dialers), ainsi que de la téléphonie Internet (VoIP). En utilisant ce type de fraude, les cybercriminels ont accès à des informations personnelles, telles que des mots de passe, des cartes d’identité et des cartes bancaires, etc. Le système de fraude n’est pas très différent du phishing : les utilisateurs du système de paiement reçoivent des messages de la part de l’administration supposée, dans lesquels il leur est conseillé factures. Mais si, dans le cas du phishing , un lien vers un faux site est attaché, il est invité à appeler le numéro de la ville. Lorsque vous appelez, un message est lu dans lequel il est demandé à la personne de divulguer ses données confidentielles. La difficulté à révéler ce type de fraude réside dans le fait que le développement de la téléphonie sur Internet vous permet de rediriger les appels vers un numéro fixe partout dans le monde, sans que l'appelant ne le soupçonne.

Secure Computing a décrit la méthode de tricherie la plus sophistiquée utilisant le schéma de vishing - le courrier électronique n'a pas été utilisé ici du tout, car les attaquants ont programmé le PC de manière à composer les numéros de téléphone à partir de la base de données et à diffuser un message préenregistré à l'intention duquel l'abonné était averti la carte était entre les mains de fraudeurs, il a donc besoin de saisir un numéro à partir du clavier du téléphone.

L'utilisation du protocole VoIP peut réduire considérablement les coûts téléphoniques, mais rend également la société beaucoup plus vulnérable aux attaques. Les banques et autres organisations qui utilisent la téléphonie IP pour les communications vocales peuvent être sujettes à des attaques malveillantes, qui ne sont pas encore protégées. En particulier, The Grugq, un expert en sécurité de l’information qui a parlé de la fraude à la conférence sur la sécurité Hack In The Box en Malaisie, en a parlé. «Les attaquants pourront entrer librement dans les réseaux bancaires et exercer un contrôle sur les canaux téléphoniques des banques», déclare Grugq. Selon lui, les attaques via VoIP auront lieu avant la fin de 2009. Les fraudeurs auront un accès complet aux informations confidentielles, notamment les identifiants bancaires et les numéros de carte de crédit. Seuls les professionnels du domaine de la sécurité de l'information peuvent les en empêcher. «Théoriquement, le client appelle la banque et la ligne téléphonique est déjà sous le contrôle de pirates informatiques», explique The Grugq. Dans ce cas, le fraudeur demande à l'appelant de fournir des informations d'identification afin de contacter le service d'assistance bancaire.

«Aucune technologie ne peut garantir aux entreprises la protection contre ce problème», a déclaré l'expert, soulignant que les systèmes existants ne pouvaient pas détecter une attaque VoIP. Pour l’organiser, les attaquants ont besoin d’un logiciel standard prenant en charge la facturation téléphonique et la téléphonie IP.

Selon Secure Computing, les fraudeurs configurent un numéroteur de guerre composant des numéros dans une région spécifique. Au moment de la réponse, les événements suivants se produisent:

  • Le répondeur informe l'utilisateur que des activités frauduleuses sont effectuées avec sa carte de crédit et vous recommande de rappeler rapidement un certain numéro.
  • Une fois que la victime a rappelé le numéro, une «voix d'ordinateur» lui répond en indiquant que l'utilisateur doit effectuer une vérification et entrer le numéro de la carte à l'aide du clavier du téléphone.
  • Dès que le numéro de carte est entré, le fraudeur reçoit toutes les informations (adresse, numéro de téléphone, nom complet);
  • À l'aide de cet appel, l'utilisateur peut également collecter d'autres informations supplémentaires, telles que la date d'expiration de la carte, le code PIN, le numéro de compte bancaire et la date de naissance.

Les principaux «déclencheurs» du vishing

  • On vous demande les détails de la carte ...
  • Vous êtes constamment obligé de réaliser l'action que vous n'alliez pas prendre il y a une minute.

"Déclencheurs" supplémentaires de vishing

  1. Les employés de banque ne demanderont jamais, en aucune circonstance, un code de sécurité au verso de la carte ou un code provenant d’un SMS bancaire.
  2. Un sujet d'appel alarmant. Pour faire peur à la victime et l'amener plus tôt à prendre les mesures qui s'imposent, les fraudeurs proposent des scénarios effrayants. Ils signalent que la carte est bloquée, le compte piraté, un membre de la famille en difficulté, etc.
  3. La promesse est facile de recevoir de l'argent que vous ne vous attendiez pas à recevoir ou que vous ne pensiez pas recevoir aussi facilement. Pour attirer la victime, les fraudeurs promettent de transférer facilement et rapidement de l'argent sur votre compte: par exemple, un retraité a reçu une allocation inattendue pour sa retraite.
  4. Vous êtes pressé et essayez de convaincre de manière très persistante.
  5. L'appel provient d'un numéro inconnu ou d'un mobile.
  6. Vous êtes assuré qu'avec un guichet automatique, vous pouvez transférer de l'argent d'une carte de quelqu'un d'autre à la vôtre.

Le principal "moyen" de se protéger du vishing

  1. Terminez la conversation. Pour continuer, appelez la banque au numéro de téléphone indiqué au dos de la carte ou sur son site web officiel, société / État. structure - par le numéro indiqué sur le site officiel.

"Moyens" supplémentaires pour vous protéger du vishing

  • N'oubliez pas que les employés des banques et des organismes publics ne doivent en aucun cas (y compris en cas de force majeure) appeler les détenteurs de cartes de paiement en leur demandant de fournir un numéro de carte de paiement, sa date d'expiration et son code CVC2 / CVV2.
  • N'oubliez pas que pour recevoir un virement sur une carte lors de la vente de biens ou de la victoire, il suffit d'indiquer uniquement le numéro de la carte.
  • En aucun cas, ne divulguez un code de sécurité à trois chiffres au verso de la carte (CVV2 / CVC2), ainsi que des codes de SMS bancaires.
  • Ne paniquez pas si vous recevez un appel à propos du blocage d’une carte ou de la tentative d’ouverture de compte. Au lieu de cela, vous devez rappeler la banque au numéro de téléphone indiqué sur le site Web officiel de la banque ou sur votre carte plastifiée.
  • Soyez rationnel et raisonnable - ne croyez pas les promesses d'argent que vous ne vous attendiez pas à recevoir.
  • Vérifiez le numéro de téléphone d'où provient l'appel: il s'agit en effet d'un numéro de téléphone connu de la banque ou tout simplement, et vérifiez également le numéro de téléphone via les moteurs de recherche, ce numéro de téléphone a peut-être déjà été "repéré" par des fraudeurs.
  • Ne vous précipitez pas. Prenez le temps de vérifier et appelez la banque / agence gouvernementale au numéro indiqué sur le site Web ou sur la carte et demandez de passer à la personne qui vous a appelé.

Et si vous devenez une victime?

Bloquez immédiatement la carte, écrivez une déclaration à la banque et à la cyber-police.

Enfin! Si vous trouvez un e-mail de phishing émanant prétendument d'une entreprise ou d'un service que vous connaissez, informez-en le service de sécurité de votre travail ou votre fournisseur.

Via facebook.com et wiki