Comment prévenir les attaques de phishing/hameçonnage

How to prevent phishing attacks

Bien que le bon sens dicte de ne jamais divulguer ses informations bancaires à des princes disparus depuis longtemps dans des contrées lointaines, le phishing reste un type de cyberattaque très populaire – et très efficace. Plus d’un employé sur cinq a ouvert un tel e-mail de phishing au cours de l’année écoulée, selon les chiffres d’un récent rapport de Verizon.

La bonne nouvelle, c’est que vous pouvez prendre de nombreuses dispositions afin de prévenir toute tentative de phishing, protéger votre identité et garantir la sécurité de vos données personnelles. Lisez ce qui suit pour en savoir plus sur certaines des escroqueries de phishing les plus remarquables de 2018, sur la manière dont Emsisoft Anti-Malware gère le phishing et sur les mesures simples que vous pouvez prendre pour éviter d’être victime d’une telle attaque.

Qu’est-ce que le phishing ?

Phishing : un type d’ingénierie sociale dans lequel les cybercriminels se font passer pour une institution ou un individu légitime afin de dérober des informations sensibles telles que des noms d’utilisateurs, des mots de passe, des informations de cartes de crédit, etc. Une campagne de phishing peut impliquer une distribution de masse, ou les criminels peuvent choisir de créer une escroquerie hautement personnalisée qui se concentre sur une cible spécifique.

Les arnaques de phishing sont le plus souvent transmises par courrier électronique. L’escroquerie classique consiste à faire passer un criminel pour une société apparemment réputée comme Amazon, PayPal ou Microsoft. L’expéditeur vous demande de vérifier vos identifiants de connexion ou vos coordonnées bancaires sur un faux site Web qui semble, à toutes fins utiles, être véridique. Lorsque vous saisissez les informations, elles sont directement envoyées aux mains des malfaiteurs. Environ 1,4 million de ces sites de phishing sont créés chaque mois.

Il y a également de fortes chances que l’on ait essayé de vous faire tomber dans les filets d’une arnaque de phishing avec prépaiement, lors de laquelle un individu riche vous promet une véritable fortune en échange d’un petit paiement initial. Attention Spoiler : la fortune n’existe pas.

Bien que le courrier électronique soit le moyen de transmission le plus courant, il est important de noter que les arnaques de phishing peuvent arriver par de nombreux autres canaux, y compris les réseaux sociaux, les SMS ou textos, les appels téléphoniques et bien d’autres encore.

Les principales arnaques de phishing de 2018

1. Attaque de phishing par le biais du RGPD d’Airbnb

En mai 2018, l’Union européenne a introduit le règlement général sur la protection des données, un nouveau règlement destiné à uniformiser la législation sur la protection des données dans toute l’UE. Comme vous le savez peut-être grâce au flot d’e-mails que vous avez probablement reçus à cette époque, presque toutes les entreprises concernées par le RGPD ont envoyé des e-mails à leurs utilisateurs pour les informer des modifications apportées à leur politique de protection de la vie privée.

Certains escrocs ont profité de cette opportunité en se faisant passer pour Airbnb en envoyant des messages de phishing depuis @mail.airbnb.work (le vrai domaine de messagerie d’Airbnb est @airbnb.com). L’e-mail affirmait que les hôtes d’Airbnb ne pourraient pas accepter de nouvelles réservations ou de nouveaux messages d’invités tant qu’ils n’auraient pas accepté une nouvelle politique de confidentialité, et comprenait un lien vers un site Web frauduleux où les destinataires pouvaient saisir leurs identifiants de connexion et leurs informations bancaires.

2. Billets bidon pour la Coupe du monde de la FIFA

Les escroqueries qui tournent autour de l’actualité peuvent être plus convaincantes pour les utilisateurs qui se méfieraient habituellement de recevoir des messages non sollicités. Les cybercriminels ont profité de l’un des plus grands événements de la planète, la Coupe du monde de football 2018, pour lancer un certain nombre d’attaques de phishing.

Dans la période précédant le tournoi, de nombreuses personnes ont déclaré avoir reçu des e-mails de revendeurs vendant des billets à des prix gonflés pour des événements qui étaient autrement complets. Comme vous l’avez peut-être deviné, les billets n’ont jamais été livrés et les coordonnées bancaires des acheteurs dérobées. Il y a également eu un certain nombre d’escroqueries par hameçonnage qui visaient à attirer les victimes en leur promettant des visas de voyage, des billets d’avion et des services d’hébergement bon marché.

3. L’escroquerie à la facturation de Netflix

Avec plus de 130 millions d’abonnés, Netflix n’est pas seulement populaire auprès des cinéphiles et des amateurs d’émissions télévisées, mais aussi auprès des cybercriminels. Un certain nombre d’e-mails de phishing de Netflix ont circulé en 2018, invitant les destinataires à mettre à jour leurs informations de paiement pour éviter la suspension de leur compte. Le lien contenu dans l’e-mail menait à un site Web d’apparence convaincante qui dérobait le nom d’utilisateur, le mot de passe et les informations de paiement de la cible.

4. Le phishing vocal devient plus avancé

Le phishing vocal – la pratique consistant à se faire passer pour une entité légitime au téléphone pour extraire des informations sensibles – n’est pas un concept nouveau, mais il est devenu sensiblement plus sophistiqué ces dernières années. Grâce aux progrès de l’automatisation et de la reconnaissance vocale, les attaquants peuvent désormais utiliser un mélange de robots et d’appelants humains pour imiter plus efficacement des marques connues et contacter plus efficacement leurs cibles.

Comment les logiciels antivirus empêchent-ils les attaques de phishing ?

De nombreuses solutions antivirus modernes offrent une couche de protection conçue pour prévenir les attaques de phishing. Ces produits n’empêchent généralement pas les e-mails de phishing de se retrouver dans votre boîte de réception ; ils identifient plutôt les sites de phishing et bloquent le chargement de la page avant que vous puissiez y accéder et divulguer par inadvertance vos informations sensibles.

Mais comment le logiciel fait-il exactement la distinction entre un site Web sûr et un site de phishing ? Avant de pouvoir répondre à cette question, nous devons d’abord examiner comment fonctionne le protocole de transfert hypertexte sécurisé (HTTPS).

HTTPS est le protocole de communication utilisé pour envoyer des données entre votre navigateur et le serveur Web auquel vous êtes connecté. Le « S » dans HTTPS signifie « Secure », et indique que les données transférées sur un site Web donné sont cryptées. Vous pouvez savoir qu’un site Web utilise HTTPS en vérifiant l’URL ou en cherchant l’icône d’un cadenas dans la barre d’adresse.

L’adoption du HTTPS a connu un essor spectaculaire ces dernières années. Aujourd’hui, environ 86 % de tous les sites Web ouverts dans Chrome aux États-Unis sont chargés via HTTPS, selon le rapport de transparence de Google. Il y a deux ans à peine, ce chiffre était d’environ 60 %.

L’adoption généralisée du HTTPS a contribué à rendre le Web plus sûr et plus sécurisé, mais elle représente un défi intéressant pour certaines sociétés d’antivirus.

Pourquoi ?

Eh bien, de nombreux produits antivirus reposent sur l’inspection de votre trafic Web afin d’identifier et de bloquer les tentatives de phishing. Cependant, comme mentionné ci-dessus, le HTTPS est spécifiquement conçu pour crypter votre trafic, ce qui signifie qu’il n’y a aucun moyen pour un logiciel antivirus de savoir si un site Web est malveillant avec les méthodes conventionnelles.

Cela signifie que les sociétés d’antivirus ont trois options principales pour prévenir les attaques de phishing, chacune avec ses avantages et ses inconvénients :

1. Filtrage du trafic réseau

Comme mentionné ci-dessus, le cryptage HTTPS empêche les logiciels antivirus de savoir quels sites Web vous visitez, ce qui signifie que le logiciel est incapable de vérifier la sécurité d’une URL HTTPS.

Pour contourner ce problème, il existe plusieurs façons de filtrer le trafic réseau qui est chargé sur le HTTPS :

Interception HTTPS

La plupart des produits antivirus utilisent l’interception HTTPS, ce qui implique l’installation d’un serveur proxy local qui falsifie effectivement tous les certificats SSL (les bouts de code qui assurent la sécurité des communications entre vous et un site Web) pour créer une attaque de type « man-in-the-middle » (« homme du milieu »). Lorsque vous visitez un site Web HTTPS, votre connexion sortante est redirigée vers le serveur proxy local, qui génère un nouveau certificat SSL appelé « wildcard certificate » pour usurper l’identité du site Web demandé avant de vérifier sa sécurité. Si le site Web est jugé sûr, il est transmis à votre navigateur et le site Web s’affiche sur votre écran. Si le site Web est jugé dangereux, le proxy enverra un avertissement au navigateur.

Le problème est que votre navigateur ne peut pas vérifier le certificat de sécurité du vrai site Web, car il ne peut voir que le faux certificat SSL que le serveur proxy a généré.

Bien que cette approche puisse fournir des taux de blocage élevés, elle introduit certains risques importants pour la sécurité. Tout d’abord, elle pourrait vous rendre plus vulnérable aux attaques malveillantes de type « man-in-the-middle ». Deuxièmement, le recryptage de vos données avec un faux certificat de sécurité signifie que vous n’avez aucun moyen de savoir si votre connexion à un site Web est réellement sécurisée ou non, ce qui pourrait vous amener à envoyer des informations sensibles via une connexion non sécurisée.

L’interception HTTPS soulève également certaines questions concernant la vie privée. Une liste noire de toutes les URL de phishing connues aurait une taille de plusieurs centaines de mégaoctets et devrait être mise à jour en permanence, ce qui rend peu pratique le stockage local de la liste noire sur votre ordinateur. Les produits antivirus qui utilisent un filtrage basé sur les URL stockent plutôt la liste noire sur leurs serveurs et interrogent l’URL chaque fois que vous visitez un site Web. Le fait que chaque URL que vous visitez soit interrogée côté serveur signifie que votre société antivirus pourrait potentiellement collecter des informations sur tous les sites Web que vous visitez si elle le souhaitait.

Filtrage de l’indication du nom du serveur

Un autre moyen de prévenir les attaques de phishing consiste à filtrer le trafic réseau en fonction des bits non chiffrés d’une connexion HTTPS, comme l’indication du nom du serveur (SNI). Le SNI est une extension du protocole TLS sur lequel repose le HTTPS. Lorsque le SNI est utilisé, le client envoie le nom d’hôte auquel il veut se connecter lors de la poignée de main initiale du TLS. Le SNI n’est pas crypté, de sorte que votre logiciel antivirus peut voir l’hôte auquel vous voulez accéder et ainsi déterminer s’il est malveillant ou non. Si votre logiciel considère que l’hôte est malveillant, il intervient et empêche le chargement de la page.

Le filtrage des réseaux peut également consister à bloquer le trafic vers les IP qui hébergent des sites de phishing ou même à bloquer des plages d’IP.

2. Extensions du navigateur

Les extensions de navigateur sont un autre moyen courant de lutter contre le phishing. Les navigateurs permettent aux extensions d’intercepter les tentatives de connexion et d’accéder au contenu des pages Web, que la connexion ou la page Web soit cryptée ou non. Les extensions de navigateur sont quelque peu limitées par le fait que – contrairement aux autres méthodes de cette liste, qui fonctionnent volontiers avec toutes les applications fonctionnant sur votre système – elles ne sont compatibles qu’avec les navigateurs spécifiques pour lesquels elles ont été développées.

3. Interception de la résolution du nom d’hôte

Comme vous le savez peut-être, chaque appareil connecté à Internet possède une adresse IP, qui est une série de chiffres que les autres machines peuvent utiliser pour trouver l’appareil. Le système de noms de domaine (DNS) permet de traduire l’adresse IP d’un appareil en quelque chose d’un peu plus facile à lire pour les humains. Par exemple, il est beaucoup plus facile de se souvenir de google.com que de l’adresse IP 173.194.32.195.

La résolution de noms d’hôtes est un processus dans lequel un nom d’hôte (par exemple google.com) est converti en son adresse IP (73.194.32.195). Certains logiciels antivirus empêchent le phishing en interrompant ce processus pour empêcher le chargement de sites Web malveillants. Cela peut se faire soit en interceptant des paquets DNS, soit en configurant un serveur DNS qui dispose de listes noires appropriées (SafeDNS, OpenDNS, etc.).

Comment Emsisoft gère-t-il le phishing ?

L’Emsisoft Anti-Malware utilise le filtrage du trafic réseau pour empêcher le phishing, mais nous n’interceptons NI ne décryptons le trafic HTTPS. Au lieu de cela, notre module de protection du Web bloque le trafic selon les IP et les informations que nous obtenons du trafic non crypté comme HTTP, ou les champs SNI des connexions basées sur le TLS comme le HTTPS. Cela permet à notre logiciel de fonctionner avec tous les programmes, contrairement à certains scanners de phishing qui sont limités à certains navigateurs. Nous utilisons une liste noire locale, ce qui signifie que les URL ne sont jamais interrogées sur nos serveurs, et nos utilisateurs peuvent être assurés que nous n’avons aucun moyen de connaître les sites Web qu’ils visitent.

Bien que l’interception HTTPS puisse fournir des taux de blocage de phishing légèrement plus élevés, nous ne pensons pas qu’il soit utile d’empiéter sur la vie privée et la sécurité de nos utilisateurs. Cela est d’autant plus vrai que tout navigateur moderne est doté d’une solide protection contre le phishing intégrée dans le logiciel. C’est ce qu’a montré un rapport de 2017 des NSS Labs sur la sécurité des navigateurs Web :

Ces chiffres suggèrent qu’il est très probable que toute URL douteuse sur laquelle vous pourriez tomber sera automatiquement bloquée par votre navigateur. L’Emsisoft Anti-Malware – et tous les autres logiciels antivirus d’ailleurs – est simplement là pour vous donner un second avis et détecter tout ce qui pourrait passer entre les mailles du filet. Vous pouvez en savoir plus sur notre avis sur l’interception HTTPS dans l’un de nos précédents articles de blog.

Que pouvez-vous faire d’autre pour vous protéger contre les arnaques de phishing ?

Il est important de se rappeler que les logiciels antivirus ne sont qu’une pièce du puzzle lorsqu’il s’agit de protection contre le phishing. Il y a beaucoup de choses que vous pouvez faire pour éviter les arnaques d’hameçonnage, notamment

1. Réfléchissez avant de cliquer

Soyez prudent lorsque vous cliquez sur des liens dans des e-mails, des SMS ou textos ou des messages instantanés, même s’ils semblent provenir d’une source familière ou fiable. Survolez les liens avant de cliquer dessus pour vérifier que l’URL mène à un site Web légitime et ne divulguez jamais votre mot de passe, votre code PIN ni d’autres données sensibles. En cas de doute, vérifiez avec l’expéditeur avant de cliquer sur un élément suspect.

2. Maintenez votre navigateur à jour

Les développeurs publient régulièrement des mises à jour pour corriger les vulnérabilités de sécurité connues dans leurs logiciels. Mettez toujours à jour votre navigateur, votre système d’exploitation et vos autres applications lorsque vous y êtes invité, et activez les mises à jour automatiques chaque fois que cela est possible.

3. Vérifiez que le site Web est sécurisé

Avant de saisir des informations sensibles (y compris votre nom d’utilisateur et votre mot de passe) sur un site, assurez-vous que celui-ci est sécurisé. Le plus simple est de confirmer que l’URL du site commence par HTTPS et qu’il y a un cadenas dans la barre d’adresse. Certains sites Web affichent également des sceaux de confiance pour indiquer que le site est sécurisé. Si votre navigateur ou votre logiciel antivirus identifie un site de phishing, il vous alertera et bloquera l’accès au site. N’ignorez pas ces avertissements, sauf si vous êtes certain qu’il s’agit d’un faux positif.

4. Installez l’extension de navigateur anti-phishing

Les navigateurs modernes sont équipés d’une protection contre le phishing assez robuste, mais vous pouvez passer à la vitesse supérieure en installant une extension de navigateur dédiée à la lutte contre le phishing. Microsoft a récemment lancé Windows Defender Browser Protection (la même technologie qu’elle utilise pour protéger les utilisateurs de Edge), bien qu’elle ne soit actuellement compatible qu’avec Google Chrome.

5. Familiarisez-vous avec le langage du phishing

Les attaques de phishing peuvent être effroyablement convaincantes. L’un des moyens les plus faciles d’identifier un e-mail ou un message instantané suspect est de se familiariser avec le langage de phishing couramment utilisé. Cela peut inclure :

6. Saisissez les URL et utilisez des signets au lieu de cliquer sur les liens

En cliquant sur des liens dans des e-mails aléatoires vous pouvez risquer gros. Il suffit d’ouvrir votre navigateur et de saisir manuellement l’URL de l’entreprise dont vous avez reçu un e-mail. Vous pouvez également ajouter vos sites Web les plus fréquemment utilisés à vos favoris et les ouvrir rapidement à partir de votre navigateur lorsque vous en avez besoin – assurez-vous simplement que les sites sont légitimes avant de les ajouter à vos favoris !

7. N’oubliez pas que l’hameçonnage ne concerne pas seulement la banque en ligne

Le phishing est le plus souvent associé aux services bancaires en ligne, mais il convient de rappeler que les attaques de phishing peuvent être utilisées pour se faire passer pour n’importe quelle organisation ou personne – et les effets peuvent être presque aussi dévastateurs. Par exemple, la perte des identifiants de connexion à vos comptes de messagerie électronique ou de réseaux sociaux peut avoir des conséquences considérables sur votre vie personnelle et professionnelle. Le vol de vos identifiants de connexion sur un site peut également affecter vos autres comptes si vous utilisez les mêmes mots de passe pour d’autres services en ligne.

8. Faites attention aux pop-up

Heureusement, les fenêtres contextuelles ou pop-up ne sont plus aussi répandues qu’auparavant, mais elles sont toujours utilisées sur certains sites Web légitimes. Soyez très prudents lorsque vous saisissez des informations dans ces fenêtres, car il y a eu de nombreux cas d’attaques de phishing se produisant dans de telles fenêtres tout en se faisant passer pour une partie légitime du site Web principal. Google Chrome, Firefox et Microsoft Edge ont tous des paramètres intégrés pour bloquer les fenêtres pop-up.

9. Soyez attentifs aux autres vecteurs d’attaque

Le courrier électronique est de loin la forme de livraison la plus courante pour les attaques de phishing, mais cela ne signifie pas que les autres canaux de communication sont sûrs. Les attaques de phishing sur les réseaux sociaux sont devenues de plus en plus courantes ces dernières années, et les chercheurs ont même vu un certain nombre d’applications de phishing malveillantes se frayer un chemin jusqu’à Google Play. Cela souligne l’importance d’être vigilant lors de la transmission de données sur tout appareil connecté à Internet, quelle que soit l’application que vous utilisez ou le mode de communication.

Lutte contre le phishing

En s’attaquant aux faiblesses naturelles de l’homme, les arnaques d’hameçonnage restent un type d’attaque courant et efficace. Les produits antivirus ont un rôle important à jouer dans la prévention des attaques de phishing, mais les utilisateurs doivent être attentifs à la manière dont leur logiciel antivirus combat réellement le phishing et aux risques de sécurité et de confidentialité qu’il comporte.

Selon vous, quelle est la meilleure façon de lutter contre le phishing ? Les logiciels antivirus devraient-ils utiliser l’interception HTTPS pour bloquer davantage d’attaques de phishing, même si cela implique un risque potentiel pour votre sécurité et votre vie privée ? Ou préférez-vous que votre logiciel antivirus ne se mêle pas des certificats SSL, même si cela signifie un taux de blocage du phishing légèrement inférieur ? Faites-nous part de vos réflexions dans les commentaires ci-dessous.

Jareth

What to read next

Reader Comments