Accueil

Présentation

Réseaux informatiques PME

L'internet par satellite

La vidéosurveillance IP

Les dangers d'Internet

Enfance et Internet

Liens

Victime d'un acte malveillant

Contact

 

 

 

INTERNET, MEFIEZ VOUS DES CONTREFACONS!

 

Depuis quelques années , la menace informatique est principalement centrée sur les virus et les intrusions réseaux. L'industrie du logiciel a bien réagi à cela en déployant moultes solutions techniques de contre-mesures. Après la protection des postes de travail par les antivirus et pare-feux, on parle aujourd'hui de protection périmétrique des réseaux. IDS, IPS deviennent la coqueluche des grandes et moyennes entreprises.

 

Véritables boucliers réseau, ces solutions rassurent les chefs d'entreprises mais les éloignent quelque peu de la véritable faille des systèmes informatiques.

 

Cette vulnérabilité, c'est l'homme. On peut avoir le meilleur système de protection au monde, mais il suffit qu'une personne mal ou pas formée pour que ce chateau de cartes s'envole en un clin d'oeil. Il vaut mieux passer par une fenêtre que de s'acharner sur une porte blindée.

 

 

Le Phishing :

 

Devant le peu de formation ou de sensibilisation des utilisateurs, les attaques aujourd'hui, sont de plus en plus orientées vers ce maillon le plus faible. Pourquoi tenter de casser un système de protection alors qu'il est plus simple d'y pénétrer par un accès qui nous a gentiment été offert sur un plateau ?

 

En ce moment, la méthode de phishing bat son plein. A l'origine, se pratiquant par téléphone ("Phreaking" entendez "phone et fishing"), cette méthode se base sur l'habitude et le manque de formation. Les cyber-criminels (même si ce terme est un peu fort : il n'y a pas de crime par internet) utilisent souvent le phishing pour extorquer de l'argent. Leurs sites de prédilections sont les services bancaires et les services d'enchères en ligne. Nous allons voir une petite démonstration basique de ce que peut faire un pirate pour récupérer vos informations confidentielles.

 

Cette démonstration a été réalisée sur le thème d'un site d'enchères à titre d'exemple. Néanmoins celui-ci n'est pas le seul à être utilisé, vous pouvez aussi être la victime d'un "Phisher" se faisant passer pour votre banquier, votre hiérarchie, votre administrateur réseau.

 

1. Tout d'abord, comme son nom l'indique, il faut partir à la pêche aux gogos en envoyant quantité de mail au hasard (Spams, Scams, ...) :

 

 

 

2. Ensuite, après avoir cliqué sur le message qui vous interpelle le plus, vous êtes redirigé vers la page de connexion de Ebay (Attention, pendant toute la phase de démonstration, ne donnez pas votre vrai pseudo) :

 

cliquez sur ce lien pour commencer la démo

 

ATTENTION, JE PRECISE QUE LA PAGE D'EBAY EST UNIQUEMENT A BUT D'ILLUSTRATION. IL NE FAUDRAIT EN AUCUN CAS ASSIMILER EBAY ET LE PHISHING. BIEN AU CONTRAIRE, EBAY BENEFICIE D'UNE SECURITE DES PLUS RENFORCEE VIS A VIS DU PHISING.

 

Maintenant que vous avez effectué la démo, voyons ce qui s'est passé :

 

1 . lorsque vous cliquez sur le lien vous êtes en réalité redirigé vers un autre serveur situé si possible dans un No Man's Land juridique d'un quelconque Pays.

 

2. vous arrivez donc sur une page ressemblant fortement à votre page habituelle et vous ne vérifiez pas forcément la véritable URL de votre navigateur.

 

3. Une fois que vous avez rempli les champs login et password, vous êtes redirigé de nouveau sur la même page. Bizarre, vous avez du faire une erreur en tapant votre mot de passe. A Tiens, cette fois-ci il passe !

 

Oui, car pour cette dernière phase vous êtes bien chez Ebay, mais entre-temps le serveur du "Phisher" a récupéré votre mot de passe et vous a lancé la véritable page d' Ebay.

 

4. Maintenant, il n'a plus qu'à lire le fichier des mots de passe ici

 

5. Que pensez vous qu'il va faire après avec vos accès et votre compte Paypal ?

On aurait pu démontrer la même chose avec votre banque, votre opérateur de téléphonie, votre accès au réseau d'entreprise ou votre site marchand en ligne.

 

Vérifiez dans la barre d'adresse que vous vous situez bien sur le bon site

 

exemples d'URL un peu bizarre: http://%77%77%77%2E%6D%69%74%72%6F%77%69%67%2E%6E%65%74

http://m%69tr%6fw%69%67%2enet

http://www.google.fr

https://www.mabanque.fr:secure@213.186.33.4

 

 

Actualités liées à cet article :

Voir la dernière attaque par phishing (source TF1)

 

 

Les prochaines victimes dans le collimateur des cyber-déviants :

- Les personnes agées : banques, documents administratifs automatisés

- Les ados : musique en ligne et téléphonie mobile : vol d'identités bancaires

- Les vrp et nomades : pc portables à usages mixtes : vol d'accès réseaux.

 

 

Bientôt, un nouveau type d'attaque : le vishing (la VOIP fishing)

ne vous amusez donc pas avec les touches DTMF de votre téléphone

 

 

 

Autres Attaques :

 

Vous pouvez aussi télécharger ces démonstrations à installer sur votre PC:

 

- Wkeylog : comment un hackeur peut récupérer à votre insu, les informations que vous tapez sur votre clavier .

 

- Loto : Qu'est ce qu'un cheval de Troie?

Qu'est ce qui vous a poussé à le télécharger ?

 

 

 

LA MEILLEURE SECURITE C'EST L'HUMAIN

 

 

 

https://www.mitrowig.net - Agen (47) - tel : 05.64.25.08.93 - Mentions légales