08/12/2011

Sensibilisation : le "phishing" ou hameçonnage

Qu’est-ce-que le hameçonnage ?
Le hameçonnage, également connu sous le terme anglophone « phishing », est une pratique malveillante permettant à un fraudeur de se procurer des codes d’accès bancaires ou des numéros de cartes bancaires. Il s’en sert ensuite pour dérober de l’argent à ses victimes.

Comment les fraudeurs procèdent-ils ?
Les fraudeurs procèdent tout simplement en envoyant un courriel frauduleux à des milliers de personnes, qui ressemblera à un e-mail venant de votre banque ou d'une société/institution qui semble légitime : faux e-mails de compagnies d'électricité, du Trésor Public, de fournisseurs d'accès Internet, etc.

Comment trompent-ils l'internaute ?
Les caractéristiques des e-mails envoyés par les fraudeurs sont toujours les suivantes :
•    Dans de rares cas, ils vous demandent de répondre à l’e-mail avec vos informations bancaires, que ce soit vos accès à votre plateforme bancaire ou vos coordonnées de cartes bancaires.
•    Dans la plupart des cas, ils vous demandent de cliquer sur un lien qui vous mènera vers un faux site, reproduisant par exemple l’aspect de votre banque. Ce faux site sera une copie du véritable site bancaire, permettant au fraudeur de vous faire croire que vous allez transmettre vos accès bancaires ou coordonnées de cartes bancaires sur le vrai site.

Les fraudeurs sont rusés : ils utilisent des arguments persuasifs dans leur courriel, qui peuvent notamment être :
•    Un problème de sécurité : sous prétexte d’un problème de sécurité, le courriel vous demande vos coordonnées bancaires, sans quoi votre compte sera cloturé.
•    Un problème de facturation : le courriel vous indique un virement bancaire ou un achat en ligne et vous invite à aller vérifier sur le site en cliquant sur un lien.

La vigilance est de mise !
•    Votre banque ne vous demandera jamais de lui communiquer vos accès bancaires (c'est-à-dire l'identifiant ET le code secret), ni vos coordonnées de carte bancaire.
•    La même fraude peut se produire par téléphone (il s’agit alors de « vishing ») : aucune banque ne vous demandera jamais vos coordonnées bancaires par téléphone.
•   Si vous recevez un e-mail qui contient des fautes d'orthographe ou grammaticales grossières, il s'agit probablement d'une escroquerie. Cela s'explique par le fait que souvent les fraudeurs ne sont pas français et maîtrisent mal la langue. Ils utilisent souvent des outils de traduction sur Internet.
•    En cas de doute, contactez votre conseiller, ou l’équipe en charge de la sécurité de votre banque, si cette dernière est joignable par courriel ou téléphone. Société Générale dispose d'une page à cet effet.

Comment puis-je limiter les risques de recevoir un e-mail de phishing des fraudeurs ?
Votre adresse de courriel reçoit probablement tous les jours de nombreux "spam" : des e-mails non sollicités, à propos de sujets divers et variés. Les bonnes pratiques consistent à :
•    Ne pas ouvrir d'e-mails qui proviennent de personnes/entreprises que vous ne connaissez pas.
•    Ne jamais répondre à un e-mail si vous avez un doute quelconque sur ce dernier. Encore une fois, si quelqu'un vous demande de communiquer vos coordonnées bancaires ou votre numéro de carte bancaire par e-mail, il s'agit d'une tentative de phishing.

Comment les fraudeurs ont-ils eu mon adresse e-mail ? Me connaissent-ils ?
Les fraudeurs ne vous connaissent pas. Pour eux vous êtes juste une adresse e-mail parmi des milliers d'autres. Les fraudeurs collectent des milliers (voir des millions) d'adresses e-mail qu'ils trouvent sur Internet par certaines méthodes :
•   Certains sites mal conçus stockent votre adresse e-mail en clair sur Internet. Cela peut être par exemple un forum sur lequel vous avez fait un commentaire et pour lequel vous avez donné votre adresse de courriel.
•   Votre adresse de courriel est directement accessible sur Internet. Cela peut être le cas si vous avez mis votre curriculum vitae sur Internet par exemple.
•   Certains fraudeurs sont aussi des pirates informatiques. Ils réussissent à pirater des bases de données de certains sites Internet mal sécurisés (un forum de particuliers,  un site commercial, cela peut être tout et n'importe quoi, du moment qu'il y a des personnes inscrites avec des adresses de courriel). Ces bases de données peuvent contenir votre adresse email.

Une bonne solution pour éviter de recevoir trop de spam et du coup d'e-mails de phishing peut consister tout simplement à utiliser plusieurs adresses e-mail. Le principe est simple : vous disposez d'une adresse e-mail principale, que vous ne communiquez jamais sur Internet, et qui vous sert exclusivement à votre correspondance privée et/ou professionnelle. En parallèle, vous créez une ou plusieurs adresses e-mail qui vous serviront à communiquer lors de vos inscriptions sur des forums, des sites d'achats, etc.

Il existe même des adresses dites "jetables", à utiliser ponctuellement, et qui n'existent que quelques heures ou quelques jours. Un exemple est le site jetable.org mais il en existe d'autres, dont voici une petite liste, à titre indicatif : adresses jetables.


Que fait Société Générale contre ce type de fraude ?
Le CERT Société Générale travaille à plusieurs niveaux sur les fraudes par phishing :

•    Détection : Nous essayons de détecter au plus tôt ce type de menace par diverses méthodes. Parmi ces méthodes, les remontées de nos clients sont importantes et très utiles, elles nous permettent souvent d’être au courant de la fraude quelques minutes après son lancement sur Internet.
•    Eradication de la menace : lorsqu’il s’agit d’un faux site bancaire, nous lançons des actions de fermeture du site frauduleux, en nous mettant directement en contact avec toute la structure informatique facilitant la fraude : hébergeur du site, etc. Nous nous mettons également si nécessaire en contact direct avec nos homologues des structures CERT des pays concernés, car souvent les sites frauduleux sont hébergés à l’étranger. Dans l’intervalle, nous déclarons aussi le site frauduleux sur différentes plateformes, notamment sur le site Phishing-Initiative.
•    Surveillance de la menace : Une fois le site désactivé, nous maintenons une surveillance active, pour parer à toute réapparition de la fraude, et mener à nouveau des actions de fermeture si le cas se présente.
Bien sûr, lorsque nos clients ou tout internaute nous signalent un site frauduleux, et qu’il n’impacte pas Société Générale, nous transmettons un signalement à l’établissement concerné, pour qu’il puisse faire cesser la fraude.

Un exemple réel
Une campagne de phishing a eu lieu il y a quelques jours, voici une image du courriel envoyé par les fraudeurs :


Nous voyons le prétexte habituel utilisé par les fraudeurs pour vous inviter à cliquer et accéder à la fausse page dans laquelle vous êtes invités à entrer vos coordonnées bancaires : "votre compte doit être mis à jour" ...
Notez également les énormes fautes et tournures de phrases... Dues probablement à un traducteur en ligne.

Maintenant, n'en doutons pas, vous ne tomberez pas dans le panneau !
Prochainement, nous détaillerons les techniques de reconnaissance de ces faux sites de phishing. 

07/12/2011

Bienvenue !

Bonjour et bienvenue sur le blog du CERT (Computer Emergency Response Team) Société Générale.

Pourquoi un blog ?

Cet espace d'expression a pour vocation de diffuser aux internautes des avis et de l’information relative à la sécurité de l'information et à la cybercriminalité. Bien que nos préoccupations soient principalement d’ordre bancaire, nous nous réservons le droit de poster des articles plus généraux sur les bonnes pratiques et la sensibilisation à tout risque lié aux nouvelles technologies.

A l’heure actuelle, la majorité des foyers est connectée à Internet et les canaux d'accès se multiplient. Les menaces numériques sont multiples et variées. Il nous semble plus que jamais important de partager nos connaissances avec nos lecteurs, de façon compréhensible, afin de contribuer à améliorer le niveau d'information des internautes français, mais aussi de partager des informations avec des professionnels de la sécurité et de la lutte contre la cybercriminalité.

Nous espérons que vous serez nombreux à nous suivre sur notre blog ainsi que sur Twitter sur lequel nous sommes également présents (@CertSG).

Petite précision, ce blog sera bilingue français/anglais en fonction des thématiques abordées.

Nous espérons donc vous retrouver prochainement pour de nouvelles lectures sur cet espace que nous avons hâte d’alimenter.