Netcraft lève le voile sur certaines techniques de phishing
La société Netcraft a publié en janvier trois articles consacrés à diverses techniques de phishing repérées par ses experts, techniques fonctionnant au second degré puisque leurs concepteurs ont pour objectif d’exploiter les apprentis « phishers ». Le premier article (1) évoque en effet un programme destiné aux « bad guys » souhaitant lancer une attaque de phishing contre la Bank of America. Rien de plus classique… sinon qu’à l’intérieur du code ont été glissées quelques instructions permettant à ses concepteurs de récupérer une copie de toutes les données collectées par ceux qui utiliseront le programme pour monter leurs propres attaques. Une opération similaire réalisée par un groupe marocain baptisé « Mr Brain » est détaillée dans un deuxième article (2), ce qui laisse rêveur quant aux possibilités que ce genre d’organisation du « cybercrime » pourrait offrir aux services de sécurité. Quoi de plus simple pour eux (en théorie du moins) que de laisser traîner des programmes de « malwares » destinés à capter des informations sur ceux qui les utilisent ? Les spécialistes de l’infiltration et de la désinformation trouveraient peut-être dans ce type de stratégie la possibilité d’identifier quelques « novices », mais surtout de rendre tellement risquée toute utilisation d’un programme « clef en mains » fourni par un tiers que l’effet dissuasion jouerait au moins pour les débutants.
Le troisième article (3) détaille une forme d’attaque visant une banque italienne, la Banca Fideuram S.p.A. Dans ce cas précis, c’est le site même de la banque qui a été infiltré, les pirates ayant réussi à injecter leur propre formulaire dans une page sécurisée. Netcraft souligne que cet exemple montre combien la seule mention « https » ne garantit pas la sécurité des transactions, tout comme reste insuffisante la vérification visuelle sur le nom de domaine affiché dans la barre de navigation.
Deux autres articles (4, 5) évoquent encore diverses formes de virus ou de malwares destinés à capter les données des clients de banques ou des visiteurs de boutiques en ligne. Plus que jamais, la complexité des techniques utilisées, seulement compréhensibles d’une poignée d’experts, et une formation insuffisante des utilisateurs aux risques potentiels (6), font de l’Internet un terrain exceptionnel pour les mafieux petits et grands.
(1) Phishing kits take advantage of novice fraudsters
http://news.netcraft.com/archives/2008/01/03/phishing_kits_take_advantage_of_novice_fraudsters.html
(2) Mr Brain: stealing phish from fraudsters
http://news.netcraft.com/archives/2008/01/22/mrbrain_stealing_phish_from_fraudsters.html
(3) Italian bank XSS’s Opportunity seized by fraudsters
http://news.netcraft.com/archives/2008/01/08/italian_banks_xss_opportunity_seized_by_fraudsters.html
(4) Poisoned websites attack visitors
http://news.bbc.co.uk/2/hi/technology/7193993.stm
(5) Cyber attack hits bank websites
http://www.canada.com/ottawacitizen/news/story.html?id=7f3cf367-e71a-4828-b770-4bcacf1cc39f&k=86382
(6) Exemple: demandez autour de vous ce qu’est le « phishing », puis combien d’emails émanant de banques leur demandant de vérifier leurs coordonnées ont été reçus par ces mêmes personnes. L’obstacle le plus évident à la réussite d’une opération de phishing est que le destinataire ne soit pas client de la banque… Nous avons évoqué, dans de précédents n° de DNS News, les résultats édifiants d’une étude menée par des universitaires sur la vulnérabilité des utilisateurs, même avertis, aux tentatives de « deception » sur internet.
Janvier 2008 - Netcraft lève le voile sur certaines techniques de phishing 