Le Phishing consiste, pour des escrocs, à aller à la pêche à vos informations confidentielles (financières, d'identification sur le système de votre entreprise etc. ...) en vous persuadant de les lui donner, tout simplement. Tout est dans la forme et vous allez tout leur donner, en vérifiant scrupuleusement que vous n'avez fait aucune faute de frappe, aucune erreur de mot de passe, de code confidentiel etc. ...
- 75% des titulaires de comptes sont concernés ! [13] et [20] et cette escroquerie est en augmentation fulgurante [8] [11] et [12]
- Des organisations travaillent sur ces problèmes au nveau du protiocole [1] et [2]
- Des alertes techniques sont lancées [3], [5], [6] par exemple.
- Des informations et alertes grand public sont faites comme [9], [10] ou [23]
- Des sites sont consacrés à ce type d'escroquerie comme [7]
Le Phishing tient du
hoax (c'est de l' "intox") et de l'ingénierie sociale. Il est généralemnt basé sur l'attaque du plus grand nombre afin de lever rapidement, dans la masse des attaqués, un lot de gogos crédules et pas informés. Le phishing va consister à les mettre en confiance.
L'attaque est lancée par spam (appelée quelquefois "spam frauduleux" ou "scam" ou "spoof email" ou "email hoax scam" ou encore "phishing scam") et met en oeuvre une copie miroir frauduleuse et piégée d'une page réelle d'un établissement financier. La propagation des scam de phishing utilise les 2 méthodes habituelles de propagation des spam -
Spam direct et Spam viral.
Les particuliers sont très vulnérables au vol de leur identité et de leurs références bancaires. Les pertes financières causées par les transactions frauduleuses consécutives sont extrêmement douloureuses et l'éveil à la façe cachée de l'Internet est brutal.
Les institutions financières sont, par ricochet, vulnérables aux attaques des particuliers par le grand nombre de ces transactions frauduleuses dont elles devront réparer le préjudice auprès de leurs clients tout en assumant, en plus, une perte de confiance auprès de leur clientèle.
Les nantis, les grandes fortunes, sont moins sensibles au bête phishing de masse par un meilleure niveau d'information et de culture mais sont tout de même victimes de la grande délinquence en col blanc où des maffieux repèrent calmement leurs grosses victimes pour envoyer des e-mail personnalisés très "sensibilisants". Pour eux, pas de spam aveugle :
Comment savoir que vous êtes à telle banque, quel est votre nom et votre adresse e-mail ? Bah ! Vous avez mis à la poubelle la pub et l'enveloppe qui accompagnent vos relevés. Cela suffit. Ou alors on a mis une "bretelle" sur votre ligne téléphonique exactement comme pour une écoute de conversations téléphoniques - on appelle cela des sniffers. Ou on vous a vu sortir une carte de paiement ou un chéquier de telle banque et on vous a suivi pour récupérer votre nom sur votre boîte aux lettres. Récupérer votre adresse e-mail avec un sniffer est chose aisée, le protocole SMTP n'est pas crypté du tout, tout circule en clair.
Le "Nigérian Spam" |
Il existe une autre forme d'attaque très proche du phishing dans sa finalité (obtenir vos références bancaires) : le "Nigérian Spam" ou "Scam africain" [21]. |
Origine du terme "Phishing"
Le terme imagé de Phishing est construit autour de "phreaking" (ancienne technique de piratage d'un système lié à la téléphonie, essentiellement pour téléphoner gratuitement - en vogue depuis les années 1970) et fishing (aller à la pêche, pêcher). Se prononce "fishing".
Exemple de phishing
Vous avez gagné 400 USD, donnez nous votre numéro de carte de crédit et de compte pour que l'on puisse vous verser votre argent !
Déroulement d'un "Phishing"
Cela passe par l'une de ces 2 formes de spams, le résultat étant le même :
- réception d'un magnifique e-mail reprenant strictement la mise en page et la charte graphique d'une page réelle d'un établissement financier, l'une de vos banques par exemple. Si vous aviez pris l'habitude de n'ouvrir vos e-mails qu'en mode "caractère", l'arnaque n'aurait pas fonctionné.
- réception d'un e-mail "convainquant" vous envoyant vers une page Internet qui ressemble comme deux gouttes d'eau au site réel d'un établissement financier réel mais est entièrement piégé. C'est une "usurpation d'interface". Si vous aviez pris l'habitude de ne jamais cliquer sur un lien dans un e-mail l'arnaque n'aurait pas fonctionné.
D'une manière ou d'une autre, une page de ce type s'affiche. Ici, pour l'exemple, nous utiliserons un Phishing très connu, celui mettant en oeuvre l'utilisation de Paypal, un organisme financier très connu et ayant de très nombreux petits clients (des particuliers) dans le monde entier.
Ces 2 captures d'écran sont un classique du piège de type Phishing.
Ces formulaires ne proviennent absolument pas de l'un des sites PayPal mais d'un site piège usurpant la charte graphique du site PayPal (il est extrêmement facile (quelques minutes) d'usurper ce type de pages et de faire ce type de copie mirroir piégée).
Ensuite, une grosse artillerie gratuite (voir
Zombies et BotNets, par exemple) arrose par spam tout le monde, client ou pas de la banque en question, dans l'espoir de lever un petit pourcentage de crédules, les petits ruisseaux faisant les grandes rivières. Selon la "qualité" de l'attaque, des estimations de 1% à 20% de réponses à ce type d'arnaques sont avancées, ce qui est énorme, monstreux (et laisse abasourdi quant au niveau d'acculturation des masses).
La qualité de l'attaque provient de :
- La qualité de reproduction du site légitime utilisé comme support à l'attaque (bonne rédaction, bonne orthographe, bonne présentation, bonne grammaire, bonne syntaxe... Dans le cas d'une attaque lancée vers un pays étranger au criminel, pas de traduction automatique du texte du spam avec des robots mais une réelle rédaction dans la langue native de la cible...)
- La quantité de spam envoyée . 1 million de spammés est courant ce qui génère, au minimum, 10.000 victimes.
Les références bancaires sont immédiatement utilisées. L'attaque est "consommée" en une demi-journée environ puis le site piège est détruit et fermé (ou il se trouve dans un paradis criminel, un eden pour maffieux comme la Russie, la Chine, une île quelconque d'Océanie etc. ...). De toutes manières, même s'il y a plainte, il est quasiment impossible de les pister et ils continuent de sévir.
En faisant immédiatement 2 ou 3 micro virements n'éveillant pas de contrôle, par exemple 2 ou 3 fois 100€ par compte, envoyés sur une foule de comptes off-shore, c'est 2 millions à 3 millions d'€ qui changent de main en quelques heures.
176 attaques distinctes par Phishing, générant chacune des milliers de victimes, ont été identifiées en janvier 2004 soit plus de 5 par jour, taux en augmentation rapide !
Note techniques:
|
Aucune de ces pages piégées ne vient de eBay, PayPal, Yahoo!, MSN, Hotmail, Parisbas, Crédit Lyonnais, Société Générale, Carte Printemps etc. ... Elles sont sur des sites piège, quelque part en Chine ou au fin fond de la Sibérie, et les connexions ont traversé plusieurs remailers (ordinateurs de renvois) anonymes qui font qu'il est totalement impossible de mettre un nom ou une adresse sur la machine d'où est partie l'attaque.
Sur ces pages piégées de phishing, tous les liens de la page usurpée sont maintenus en place et sont de vrais liens conduisant effectivement sur des pages réel du site de l'établissement financier. Ceci accentue considérablement l'apparence d'authenticité de la page piège. Seul le lien de "validation" (envoi) du formulaire, une fois vos références saisies, est faux mais vous ne pouvez pas le voir (il est dans un script) et quand bien même vous le verriez, savez-vous faire la différence entre un lien et un autre ?
Adresse e-mail de retour
L'adresse e-mail de retour, souvent inutile puisque vous avez rempli et envoyé un formulaire dont les données sont déjà capturées par l'escroc, est aussi un élément de mise en confiance. Vous êtes sur le prétendu site de la banque bankeroute.com ?
- L'adresse e-mail de retour pourrait être une adresse réelle de l'établissement financier, par exemple admin@bankeroute.com ou une adresse fictive mais sur le domaine de l'établissement "bankeroute", par "exemple : crash.recovery@bankeroute.com. Sachant qu'il est aisé de piller des comptes e-mail puisque le protocole smtp n'est pas sécurisé et que les serveurs des grands groupes sont souvent très ouverts (travailleur nomades oblige, travail à domicile etc. ... avec protocole d'identification faible et souvent identique en interne et en externe), n'écrivez jamais par e-mail à votre établissement financier.
- L'adresse e-mail pourrait être un compte e-mail de l'escroc, créé sur un domaine bidon "engageant", domaine créé par le même escroc (ces maffieux sont leurs propres "registrar" pour créer des domaines sur le NET et ont leurs propres serveurs DNS, comme les spammeurs "traditionnels", pour propager ces noms de domaine à courte vie) comme admin@recovery.bankeroute.com...
|
Ingénierie sociale - la mise en confiance :
On va vous demander, sous un prétexte fallacieux, de vérifier toutes vos données personnelles, ou de les actualiser après une prétendue panne d'un ordinateur ou de prétendus mouvements financiers inhabituels sur votre compte, ou pour vérifier que vous êtes bien le gagnant d'une superbe voiture, d'une cuisine équipée ou de la maison entière etc. ...
- Vous n'êtes pas client de cet établissement financier ? Vous allez répondre tout de même en vous disant que vous n'êtiez pas au courant de cette relation avec cet établissement mais que cela provient certainement d'un crédit que vous avez ou d'une carte de fidélité etc. ...
- Vous êtes client de cet établissement financier ? Evidemment, cette page, vous ne l'avez jamais vue mais cela vous paraît normal puisqu'elle serait la conséquence d'un problème nouveau et ponctuel (la prétendue panne d'ordinateur, l'a prétendue attaque sur votre compte...).
Vous allez donc, ainsi, donner consciencieusement et méticuleusement vos noms, prénoms, adresse, comptes, numéros de cartes bancaires et leurs codes confidentiels, votre login / mot de passe sur le réseau et les serveurs de votre employeur etc. ... Les établissements financiers, les commerces de détail et les fournisseurs d'accès Internet sont les plus utilisés en support aux spams de phishing.
Le maillon faible
Dans les secondes qui suivent votre "don" d'informations, des tas de petites opérations peu visibles sont exécutées, retraits d'espèces, virements sur des tas de comptes locaux ou off-shore, qui seront vidés et fermés dès le lendemain etc. ... ou le système de votre employeur est visité (espionnage industriel) ou attaqué...
On est donc face, comme d'habitude, au même maillon faible de la chaîne de sécurité des ordinateurs, des réseaux et d'Internet, le réseau des réseaux : l'homme.
Campagne de sensibilisation
Comme pour les hoax et l'ingénierie sociale, il nous faut sensibiliser, enseigner, alerter le plus grand nombre, par voie de communiqués internes ou séminaires dans l'entreprise, par voie de correspondance papier classique et aux guichets pour les clients des établissements visés etc. ...
- Alerter sur le Phishing en particulier
- Alerter sur le principe même de divulgation d'informations personnelles ou confidentielles en éveillant la méfiance et la défiance. En toutes circonstances (porte à porte, sur Internet etc. ...) posez-vous des questions :
- Puis-je croire ce que l'on me dit ? Ne jamais répondre du tac au tac. Prendre le temps de la réflexion et le temps de consulter vos interlocuteurs habituels de l'établissement en question. De toutes manières, une telle demande par e-mail est, dans 100% des cas, une escroquerie.
- Est-il habituel ou normal que le demandeur le fasse sous cette forme ? Jamais ! Au même titre que jamais Microsoft ne vous enverra un correctif par e-mail (ce sont des virus que vous recevez), jamais un établissement financier ne vous demandera quoi que ce soit par e-mail et n'allez sur son site que par votre lien habituel, à la virgule et au caractère prêt.
- Encours-je un risque ? Oui ? Vous avez ce petit flottement d'incertitude, ce doute. Vous avez raison : ne dites rien ! Ne donnez rien. N'écrivez rien.
Réveillez-vous !
Contre-mesures :
- Le patch Microsoft MS04-004 [4]
- Déployer des solutions antivirales. Aucun ordinateur ne devrait rester sans antivirus.
- Déployer des solutions anti-spam. Aucun ordinateur ne devrait être laissé sans anti-spam.
- Déployer des filtres de protection de la vie privée.
- Déployer des firewall logiciel chez les particuliers et matériel dans le monde de l'entreprise.
- Durcir les autentifications sur les serveurs de messagerie.
- Former et informer sur le lieu de travail et la clientèle.
- Lire [14] Meilleures pratiques pour institutions et consommateurs - McAfee
Outil : est-ce la bonne page ? est-ce du phishing ou un scam ? |
Notez que Microsooft à produit une mise à jour de sécurité cumulative critique début février 2004 ( bulletin ms04-004) qui corrige certaines failles de sécurité décrites ci-après.
Lien apparent et lien réel
Il est possible, dans tous les navigateurs, Opera, Mozilla, Netscape, Internet Explorer etc. ... ainsi que dans les outils de messagerie utilisant ces navigateurs comme ressources, tels Outlook, Outlook Express, Mozilla Mail etc. ... d'abuser un utilisateur peu attentif en masquant grossièrement la destination réelle d'un lien. Ce n'est pas une faille de sécurité. Il s'agit d'écrire, tout à fait légitimement au sens de la syntaxe du langage HTML, un commentaire lié à une page. Simplement, le commentaire à l'apparence d'un lien. Regardez bien ces 2 liens et, en passant le curseur de votre souris au-dessus, regardez ce qui s'affiche dans la barre d'état (status bar, généralement en bas à gauche) de votre navigateur ou de votre client de messagerie. Dans le second lien, ce n'est pas vraiment vers le site de la banque de France que vous êtes dirigé.
Trouvez des informations à propos du Phishing
http://banque.de.france.com
Internet Explorer URL parsing vulnerability
Faille "0x01" et "0x00" (%00 et %01) avant le caractère @
Le caractère @ est utilisé légalement dans une url comme dans une adresse e-mail. Il sert à présenter un utilisateur allant sur un domaine comme dans http://pierre@assiste.com signifie : "avec le protocole http, pierre veut accéder au domaine assiste.com". On peut s'en servir, par exemple, pour limiter l'accès d'un site à une liste d'amis, l'utilisateur étant identifié automatiquement par le serveur en lisant une information appelée "REMOTE_IDENT". Voir, par exemple, [ 15] pour la norme et [ 16] et [ 18] pour son utilisation. Plus d'informations peut être obtenu en lançant une recherche Google sur "http://user@domain" [ 19]
Une faille de sécurité (erreur de lecture de ce type d'adresses) dans certains navigateurs, sous certains systèmes d'exploitation, a été identifiée
Microsoft Internet Explorer 5.0,
5.01,
5.01 SP1,
5.01 SP2,
5.01 SP3,
5.01 SP4,
5.5,
5.5 SP1,
5.5 SP2,
6.0,
6.0 SP1
Crazy Browser, myIE et tous navigateurs dérivés d'Internet Explorer
OutLook
OutLook Express
Mozilla Browser 1.2.1
MySoft Studio MyIE2 0.9.10
Opera dans des cas mal définis
Internet Explorer pour Mac n'est pas touché par cette faille
Cette faille est exploitée pour afficher une fausse url dans la barre d'adresse et la barre d'état tandis que la véritable url vers laquelle vous êtes dirrigé est masquée. Ceci résulte d'une erreur dans la vérification des entrées incluant le caractère "0x00" (%00) et, parfois, la caractère "0x01" (%01), avant le caractère @. A ce moment là, seule la première partie de l'url est affichée (la partie l'utilisateur) et, si on donne à cette partie l'apparence d'une url "normale", l'internaute est trompé.
Cette faille fonctionne même sur un e-mail en texte pur, réputé fiable (votre outil de messagerie est réglé pour n'accepter que du teste pur - ni code HTML ni aucun script...).
Vous êtes dirigé vers l'url citée après le caractère @ tandis que vous ne voyez apparaître qu'une url vers laquelle vous ne serez jamais dirigé puisque cette première url est traitée comme un code utilisateur et non pas une url.
Par exemple utilisons le lien suivant qui prétend vous envoyer sur le site Assiste.com. Si votre système est vulnérable et n'est pas patché, vous voyez apparaître http://assiste.com mais vous êtes dirrigé vers mon site de gastronomie traditionnelle http://terroirs.denfrance.free.fr.
Ce lien prétend vous envoyer sur http://assiste.com
Cette faille a été corrigée par MS04-004 [ 4]
Une astuce, pour le cas où l'affichage d'une adresse utilisant la faille "0x00" se ferait, malgré tout, complètement, consiste à bourrer la partie "utilisateur" de l'adresse d'une longue chaîne de caractères quelconques, éventuellement "impressionante" servant à pousser le caractère @ et ce qui suit à l'extrême droite, au-dela de la capacité normale d'affichage de votre navigateur. Par exemple, ce n'est pas vraiment vers le site cité au début, http://banque.de.france.com, que vous êtes dirigé mais vers celui qui est tout au bout, après le @, soit http://gang.maffieux.qui.pique.votre.fric.com :
http://banque.de.france.com-validation.post.crash.09-05-04.
pIUYTjvibuytkUYTREUCYEckjLKv>IUtytRVjvb<account-update
UT127ATsecurMASTERCLUSTERrm787bm3a
crackdedans@gang.maffieux.qui.pique.votre.fric.com
Très exactement dans le même ordre d'esprit, l'adresse peut être remplie de caractères "NULL" (ce caractère est légitime mais non affichable alors que le caractère " " (espace) est interdit dans la syntaxe des URLs - voir [ 17]) toujours pour cacher à la vue l'adresse réelle de direction. Dans certaines anciennes versions non patchées d'Internet Explorer, Netscape et Mozilla, ceci ne permettait pas de voir le "bourrage" du lien. Normalement, actuellement, ce caractères "NULL" est affiché (sous forme d'un petit carré).
http://banque.de.france.com??????????????????????????????
????????????????????????????????????????
???????????????????????????????????????
??????????????@gang.maffieux.qui.pique.votre.fric.com
Même chose avec des caractères "espace" mais codés   après le caractère 0x00 (%00). Cette attaque est du 8 mai 04 sur la bugtraq [ 22]. La société spoofée, e-gold, communique pour informer et alerter, auprès de ses clients [ 23].
<a href="http://www.e-gold.com?
          
          
          
          
          
          
          
          
          
          
          
          
          
          
          
          
@egegold.com/"><span lang=EN-US
style='mso-ansi-language:EN-US'>http://www.e-gold.com/alert</span></a><br>
Scripts
Les liens peuvent être écrits dans un script qui force l'affichage, dans la barre d'état du navigateur ou du client de messagerie, d'un lien forgé alors qu'en réalité ce sera vers un tout autre lien que vous serez dirigé.
Outil proposé par Microsoft dans [5] :
1 - Sélectionnez tout le code suivant
javascript:alert("La véritable URL de la page actuellement affichée est:\n\t\t" + location.protocol + "//" + location.hostname + "/" + "\nSi cette information ne correspond pas exactement à l'URL prétendue, vous êtes en train de regarder une page Web provenant d'un autre site que celui prétendu. C'est une usurpation ou Spoofing. Je vous recommande de fermer votre navigateur et de vider les caches de votre navigateur");
2 - Faites Edition > Copier (ou raccourci clavier Ctrl+c)
3 - Allez dans la fenêtre de votre navigateur dont vous voulez révéler l'url réelle de la page affichée
4 - Regardez bien (et notez éventuellement) l'adresse qui s'affiche actuellement dans la zone d'adresse.
5 - Effacez tout ce qui se trouve actuellement dans cette zone d'adresse
6 - Faites, dans cette zone d'adresse, un coller (Edition > Coller ou raccourci clavier Ctrl+v)
7 - Appuyez sur "Entrée" (Enter) et lisez l'URL réellement visitée actuellement dans le message qui s'affiche.
Adresse IP exprimée en décimal
Une adresse IP est, normalement, exprimée sous la forme nnn.nnn.nnn.nnn appelée IPV4 (4 paquets de chiffres allant de 000 à 255 chacun). Avec une adresse IP exprimée normalement, il est aisé d'identifier un domaine. Pour gêner cette identification, une méthode de camoufflage consiste à exprimer l'adresse IP sous une forme décimale au lieu de IPV4. Bien que légale, cette méthode est inhabituelle et ne permet plus d'utiliser les outils de type WHOIS.
Convertir une adresse IP de Base 10 vers IPV4 (décoder des adresses IPs exprimées en numérique).
|
Comment reconnaître un e-mail de phishing |
Si un e-mail contient n'importe quelle forme de formulaire vous demandant d'entrer un code d'identification, un mot de passe, les détails d'une carte de paiement, une information quelconque sociale (identité, sécurité sociale, comptes, code secret... quoi que ce soit), c'est un spam de phishing. Ne répondez pas, ne cliquez nulle part. Portez plainte ici.
Si un e-mail ne vous pose aucune question mais vous invite à vous diriger vers un site qui va vous poser ces mêmes questions, site qui semble plus vrai que nature, avec de vrais liens vers le vrai site partout et un formulaire au milieu qui vous demande les mêmes renseignements, ne le croyez pas. Ne répondez pas, ne cliquez nulle part. Portez plainte ici.
Vous n'avez pas réellement les moyens de reconnaître un e-mail de phishing sauf une extrême vigilance personnelle, la consultation des sites de hoax et l'utilisation de l'outil ci-dessus. Le protocole SMTP utilisé pour la transmission des e-mail (pop3) n'est pas sécurisé et les informations techniques de transmission, contenues dans l'entête des e-mail (le header), peuvent entièrement être forgées ou usurpées.
Aucune de leurs informations n'est fiable:
- Ne vous fiez pas à l'adresse de l'émetteur de l'e-mail - elle peut être forgée de toutes pièces ou usurpée
- Ne vous fiez pas aux liens qui vous voyez sur ces e-mail - les liens peuvent être facilement déguisés ou masqués et vous n'êtes absolument pas dirrigés vers le lien apparent mais vers un lien invisible.
- Ne vous fiez pas à la mise en page de l'e-mail à l'identique d'un site officiel. C'est une anomalie majeure qui doit faire suspecter l'e-mail au premier chef.
Le coup du "N'importe quoi".
Il y a toutefois un truc : ces gens là ne connaissent absolument pas vos identifiant et mot de passe réels, ils vous les demandent. Si vous êtes accueillis par une page de login (identification, connexion) apparemment habituelle (capture eBay ci-dessous), saisissez n'importe quoi et vous allez voir que ça passe - ils viennent de saisir votre "n'importe quoi", le prenant pour un login valide. Un truc de psychologie, pas encore mis en oeuvre à ma connaissance, mais que je ferais si j'étais eux, serait de vous mettre en confiance en vous renvoyant un message d'erreur lors de votre première saisie (que vous prendriez pour une faute de frappe imaginaire). Vous confirmeriez votre login méticuleusement ou vous seriez porter à saisir votre véritable login si vous tentiez le coup du "n'importe quoi".
|
Séquence complète d'une opération de Phishing:
L'email reçu le 14 juillet 2004 a pour sujet "Votre compte eBay". Il n'est même pas utile de l'ouvrir
pour savoir qu'il s'agit de phishing. Ouvrons-le tout de même.
Nota : tous les autres emails dans cette liste sont également du phishing (collection Assiste.com).
Nota : tous ces emails ont été tagués **SPAM** par SpamPal et par le filtre bayésien de Mozilla.
Le texte de l'email est dans un français manifestement obtenu par un outil de traduction automatique puis légèrement retouché
Cette page de login (identification) est un faux imitant celle de eBay. Tous les liens sur cette
page conduisent réellement à des pages authentiques des sites eBay sauf le bouton
"Ouvrir une session". Notez l'adresse qui apparaît dans la zone d'adresse. Il s'agit d'un faux:
ebays (avec le "s" à la fin - comme "secure" pour vous induire en erreur, n'est pas un site eBay).
Ce site à fonctionné quelques jours après un envoi massif de spam sur la sphère francophone.
C'était en juillet 2004. En Août 2004 il n'existe plus.
Dans ce cas le script indiqué ci-dessus ne fonctionne pas car vous êtes bien sur cette adresse.
C'est la véritable adresse de ce que vous êtes en train de voir, tellement proche des adresses
légitimes de eBay que vous êtes induits en erreur.
Tout y est, même la liaison sécurisée
On observera le pseudo code de suivi dit "Alerte De Fraude ID" avec 2 majuscules de trop.
On observera le français approximatif de l'introduction de cette page.
On observera surtout que, bien que n'ayant pas de compte eBay et ayant saisi n'importe quoi
dans la page d'identification/login, je suis passé au travers du login pour aboutir
sur cette page de Phishing.
Ressources
[1] Anti-Phishing Working Group (APWG).
Rapport de février 2004 - document PDF 98 Ko
[2] Anti-Spam Research Group (ASRG)
Au sein de l'Internet Research Task Force (IRTF)
Cherche à durcir le protocole SMTP.
http://www.irtf.org/charters/asrg.html
[3] Avis du CERT-US
Nombreux liens vers d'autres ressources dont Microsoft, BugTraq, SecurityFocus etc. ...
http://www.kb.cert.org/vuls/id/652278
[4] La patch Microsoft MS04-004
http://www.microsoft.com/technet/security/bulletin/MS04-004.asp
[5] Microsoft Knowledge Base Article 833786
http://support.microsoft.com/?id=833786
[6] Microsoft Knowledge Base Article 834489
http://support.microsoft.com/?id=834489
[7] Le site MillerSmiles.co.uk collectionne des exemples de phishing sur ces pages
Attaques Phishing 2003 - analyse et captures d'écran
Attaques Phishing 2004 - analyse et captures d'écran
[8] Les arnaques de type "phishing" font de plus en plus de victimes
http://www.zdnet.fr/actualites/internet/0,39020774,39146528,00.htm
[9] Phishing quand tu nous tiens!
http://www.zdnet.fr/actualites/opinions/0,39020797,39150265,00.htm
[10] New Phishing Scam Prompts Warnings
http://news.netcraft.com/archives/2004/04/01/new_phishing_scam_prompts
[11] 176 attaques distinctes par Phishing en janvier 2004
http://news.netcraft.com/archives/2004/02/25/phishing_attacks
[12] Phishing : Escroqueries par email en augmentation de 52% en un mois
http://www.ixus.net/modules.php?name=AvantGo&file=print&sid=623
[13] 75 % des titulaires de comptes sont concernés
http://fr.biz.yahoo.com/040504/45/3s62c.html
[14] Anti-Phishing: Best Practices for Institutions and Consumers par McAfee
https://document pdf
[15] RFC 2396 La norme des URI (URL)
http://www.ietf.org/rfc/rfc2396.txt
[16] Exemple de ré-écriture des URL côté serveur
http://httpd.apache.org/docs-2.0/misc/rewriteguide.html
[17] Echappement %
Codage - sur
http://assiste.com
Décodage - sur
http://assiste.com
[18] Microsoft Knowledge Base Article - 200351
URL Syntax for Authentication Without Dialog Prompt
http://support.microsoft.com/default.aspx?kbid=200351
[19] Recherche Google sur "http://user@domain"
Google "http://user@domain"
[20] Extorsion électronique: des millions d'Américains piégés en 2003
http://www.zdnet.fr/actualites/internet/0,39020774,39151648,00.htm
[21] Nigerian Spam ou Scam Africain
Spam nigérien - sur
http://assiste.com
[22] Bugtraq
http://www.securityfocus.com/archive/1/362599/2004-05-06/2004-05-12/0
[23] Communication d'alerte de la carte e-gold vers ses clients
http://www.e-gold.com/unsecure/alert.html
News
26.05.04 http://www.journaldunet.com/juridique/juridique040525.shtml
27.05.04
«Phishing»: à la pêche aux gogos sur l'internet
Démantèlement d'un réseau de cyber-escrocs en Grande-Bretagne
Libération - mercredi 05 mai 2004 (Reuters - 20:11)
LONDRES - La police britannique a interpellé mercredi 12 ressortissants de pays d'Europe orientale soupçonnés d'avoir détourné d'importantes sommes d'argent grâce à une escroquerie sur internet au détriment de nombreux clients de banques britanniques.
Il s'agit de la deuxième opération majeure de l'unité de la police britannique spécialisée dans la cyber-délinquance, la National Hi-Tech Crime Unit, contre une forme récente d'escroquerie en ligne nommée "phishing" et qui pourrait avoir coûté aux banques en 2003 environ 60 millions de livres sterling, soit 88,5 millions d'euros.
Quelques-unes des plus grandes banques de dépôt du monde, dont les filiales britanniques de Barclays, Lloyds TSB et NatWest, ont été victimes de ces détournements de fonds auxquels les escrocs ont pu se livrer en obtenant des clients eux-mêmes leurs coordonnées bancaires grâce à des messages électroniques et des sites web frauduleux.
La police a expliqué que le groupe d'escrocs avait transféré l'argent des comptes des clients escroqués vers d'autres comptes ouverts avec de faux documents, puis avait retiré l'argent pour l'envoyer en Russie, sans doute au profit de la mafia locale.
Parce qu'ils n'avaient pas réussi à s'introduire dans le système bancaire, les escrocs ont choisi de duper les titulaires de comptes en leur envoyant de faux messages électroniques de leur banque, très bien imités, pour leur demander de mettre à jour leurs données personnelles.
Les clients étaient alors dirigés vers un site web imitant celui de leur banque où ils devaient entrer leur numéro de compte et de carte bancaire.
Anti-Web Bug