Ne vous laissez pas berner par ces techniques avancées de phishing

Hibou Gourou

De nombreux e-mails frauduleux sont douloureusement évidents pour les internautes expérimentés. Les fautes d'orthographe, les scénarios absurdes et les pièces jointes douteuses sont généralement des signes évidents de méfait.

En réalité, cependant, toutes les tentatives de phishing ne sont pas aussi flagrantes – et supposer qu'elles le sont peut conduire à un faux sentiment de sécurité. Certains sont si soigneusement conçus qu'ils sont capables de tromper même les utilisateurs les plus avertis.

Les e-mails de phishing sont particulièrement convaincants lorsqu'ils abusent de certaines des techniques avancées dont nous discutons dans cet article.

Lorsque nous pensons aux vulnérabilités des sites Web, des images de piratages à grande échelle et de violations de données désastreuses nous viennent à l'esprit. Mais les vulnérabilités les plus courantes sont beaucoup plus piétonnes.

Ils n'entraînent généralement pas une prise de contrôle complète d'un site Web, mais donnent plutôt aux attaquants une sorte de petit gain, comme l'accès à certaines informations privilégiées ou la possibilité d'insérer un peu de code malveillant dans une page.

Certains types de vulnérabilités permettent d'exploiter le domaine d'un site pour créer une URL qui semble provenir de la page du site, mais qui est en fait sous le contrôle du pirate informatique.

Ces URL «légitimes» sont extrêmement utiles pour les fraudeurs de courrier électronique, car elles sont plus susceptibles de contourner les filtres ou d'échapper à la notification des victimes.

Redirections ouvertes

Les sites Web ont souvent besoin de rediriger les utilisateurs vers un autre site (ou une page différente sur le même site) sans utiliser de lien régulier. Une URL de redirection peut prendre la forme suivante:

 http://vulnerable.com/go.php?url=<some url>

Cela peut aider les entreprises à garder une trace des données importantes, mais devient un problème de sécurité lorsque n'importe qui peut utiliser une redirection pour créer un lien vers n'importe quelle page sur le Web.

Par exemple, un escroc pourrait exploiter votre confiance en vulnérable.com pour créer un lien qui vous renvoie réellement à evil.com :

 http://vulnerable.com/go.php?url=http://evil.com

La recherche Google a une variante de ce problème. Chaque lien que vous voyez dans une page de résultats de recherche est en fait une redirection de Google qui ressemble à ceci:

 https://www.google.com/url?<some parameters>&ved=<some token>&url=<site's url>&usg=<some token>

Cela les aide à suivre les clics à des fins d'analyse, mais signifie également que toute page indexée par Google génère en fait un lien de redirection à partir du propre domaine de Google, qui pourrait être utilisé pour le phishing.

En fait, cela a déjà été exploité à plusieurs reprises dans la nature, mais Google ne le considère apparemment pas comme une vulnérabilité suffisante pour supprimer la fonctionnalité de redirection.

Script intersite

Les scripts intersites (généralement abrégés en XSS) se produisent lorsqu'un site ne nettoie pas correctement les entrées des utilisateurs, ce qui permet aux pirates d'insérer du code JavaScript malveillant.

JavaScript vous permet de modifier ou même de réécrire complètement le contenu d'une page.

XSS prend plusieurs formes courantes:

  • Reflected XSS : le code malveillant fait partie de la requête à la page. Cela pourrait prendre la forme d'une URL comme http://vulnerable.com/message.php?<script src = evil.js> </script>
  • Stored XSS : Le code JavaScript est stocké directement sur le propre serveur du site. Dans ce cas, le lien de phishing peut être une URL totalement légitime sans rien de suspect dans l'adresse elle-même.

En relation: Comment les pirates utilisent les scripts intersites

Ne soyez pas dupe

Pour éviter d'être trompé par l'un de ces liens louches, lisez attentivement l'URL de destination de tous les liens que vous rencontrez dans vos e-mails, en accordant une attention particulière à tout ce qui pourrait ressembler à une redirection ou à un code JavaScript.

Pour être juste, ce n'est pas toujours facile. La plupart d'entre nous sont habitués à voir les URL des sites que nous visitons avec un tas de «courrier indésirable» collé après le domaine, et de nombreux sites utilisent la redirection dans leurs adresses légitimes.

Le codage d'URL est un moyen de représenter des caractères à l'aide du signe de pourcentage et d'une paire de caractères hexadécimaux, utilisés pour les caractères dans les URL susceptibles de perturber votre navigateur. Par exemple, / (barre oblique) est codé en tant que % 2F .

Considérez l'adresse suivante:

 http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

Une fois le codage de l'URL décodé, il se résout en:

 http://vulnerable.com/go.php?url=http://evil.com

Oui, c'est une redirection ouverte!

Un attaquant peut en profiter de plusieurs manières:

  • Certains filtres de sécurité de messagerie mal conçus peuvent ne pas décoder correctement les URL avant de les analyser, ce qui permet à des liens manifestement malveillants de passer.
  • En tant qu'utilisateur, vous pouvez être induit en erreur par la forme étrange de l'URL.

L'impact dépend de la manière dont votre navigateur gère les liens avec des caractères encodés en URL. Actuellement, Firefox les décode entièrement dans la barre d'état, ce qui atténue le problème.

Chrome, en revanche, ne les décode que partiellement, affichant les éléments suivants dans la barre d'état:

 vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Cette technique peut être particulièrement efficace lorsqu'elle est associée à l'une des méthodes ci-dessus pour générer un lien malveillant à partir d'un domaine de confiance.

Comment éviter d'être trompé : Encore une fois, inspectez soigneusement les URL de tous les liens que vous rencontrez dans les e-mails, en accordant une attention particulière aux caractères encodés par URL potentiels. Méfiez-vous des liens contenant beaucoup de signes de pourcentage. En cas de doute, vous pouvez utiliser un décodeur d'URL pour voir la vraie forme de l'URL.

Techniques avancées pour contourner les filtres

Certaines techniques visent spécifiquement à tromper les filtres de messagerie et les logiciels anti-malware plutôt que les victimes elles-mêmes.

Modification des logos de marque pour contourner les filtres

Les fraudeurs usurpent souvent l'identité d'entreprises de confiance en incluant leurs logos dans les e-mails de phishing. Pour lutter contre cela, certains filtres de sécurité analysent les images de tous les e-mails entrants et les comparent à une base de données de logos d'entreprise connus.

Cela fonctionne assez bien si l'image est envoyée inchangée, mais il suffit souvent d'apporter quelques modifications subtiles au logo pour contourner le filtre.

Code obscurci dans les pièces jointes

Un bon système de sécurité de messagerie analysera chaque pièce jointe à la recherche de virus ou de logiciels malveillants connus, mais il n'est souvent pas très difficile de contourner ces vérifications. L'obscurcissement du code est un moyen de le faire: l'attaquant transforme le code malveillant en un désordre complexe et enchevêtré. La sortie est la même, mais le code est difficile à déchiffrer.

Voici quelques conseils pour éviter d'être pris au dépourvu par ces techniques:

  • Ne faites pas automatiquement confiance aux images que vous voyez dans les e-mails.
  • Pensez à bloquer complètement les images dans votre client de messagerie.
  • Ne téléchargez pas les pièces jointes à moins que vous ne fassiez totalement confiance à l'expéditeur.
  • Sachez que même le fait de réussir une analyse antivirus ne garantit pas la propreté d'un fichier.

Connexes: Les fournisseurs de messagerie les plus sécurisés et cryptés

Le phishing ne va nulle part

La vérité est qu'il n'est pas toujours facile de détecter les tentatives de phishing. Les filtres anti-spam et les logiciels de surveillance continuent de s'améliorer, mais de nombreux e-mails malveillants passent encore entre les mailles du filet. Même les utilisateurs expérimentés pourraient être dupés, en particulier lorsqu'une attaque implique des techniques particulièrement sophistiquées.

Mais un peu de conscience va un long chemin. En vous familiarisant avec les techniques des escrocs et en suivant de bonnes pratiques de sécurité, vous pouvez réduire vos chances d'être victime.