Anti Phishing

Comment reconnaître une action de phishing et comment s'en prémunir

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
En 2 mots
Ne donnez jamais aucune informations sur vous et à fortiori sur vos références bancaires (comptes, carte etc. ... ) à qui que ce soit et surtout pas en réponse à une demande d'information sortie subitement dans un e-mail ou sur un site.
Utilisez Le bon service Anti-Spam

Pour aller plus loin
Il n'est pas réellement utile de télécharger des outils additionnels prétendument anti-phishing. Servez-vous de l'outil que vous avez entre les oreilles.
Communiquez aurpès de vos clients
Communiquez auprès de vos salariés
Etendez les infrastructures de sécurité anti-spam et antivirales par des outils anti-phishing proposés par les grands éditeurs d'antivirus comme Kaspersky, Symantec (Norton), Sophos, F-Secure, BitDefender, Computer Associates etc. ...

Pour comprendre
Qu'est-ce que le Phishing ?
Qu'est-ce que le Pharming ?


Une opération de phishing est une opération "coup de poing". Elle a lieu généralement par envoi massif d'un e-mail non sollicité (spam) qui va tenter de persuader (social engenering) le maximum de personnes dans un minimum de temps d'aller sur un site dont tout laisse à penser, graphiquement parlant, qu'il est ce qu'il prétend être (une banque ou un organisme financier ou un grand site sur lequel vous êtes probablement inscrit comme des millions d'internautes (comme eBay, Amazon, PayPal... exemple). C'est la raison pour laquelle un bon Anti-Spam est le premier remède contre le phishing. Des millions d'e-mail sont envoyés en quelques minutes ( propagation des spams ) afin de permettre aux criminels de récolter le maximum de références et numéros de cartes bancaires et, en quelques heures, quelques imprudents vont répondre (même s'ils sont bardés d'antivirus, anti-trojans et pare-feu), leurs comptes sont vidés, l'argent est transféré sur des comptes off-shore (îles du pacifiques et états voyous), le site internet ayant servi à l'attaque et détruit (le principe est de ne laisser aucune trace) et tout le monde disparait pour recommencer un peu plus loin (entendez sur un autre serveur avec une autre adresse IP) un peu plus tard.

Tous les outils dit anti-phishing reposent sur 2 bases de travail :
  • analyse des liens (urls, adresses des sites) pour tenter d'y déceler une usurpation ou un spoofing. Pourtant, il suffit d'observer, dans la bare d'adresses du navigateur, le lien actuel, puis de faire un rafraîchissement de la page (clic sur le bouton "Actualiser la page courante") et observer si le lien change. S'il change, il y a suspicion (rien de plus).

  • des listes noires (type Hosts) ce qui ne sert à rien (sauf pour quelques sites qui n'auraient pas été fermés dans les heures suivants l'attaque mais l'opération de social engenering (le spam massif) tentant de vous pousser vers ces sites est déjà éteinte). Ne vont être "protégés que ceux qui n'ont pas de dispositifs anti-spam et qui, comble de l'erreur, lisent leurs spam (ce qui est une autre faute) et poursuivent par le suicide en cliquant sur des liens ! On peut espérer qu'à ce niveau de crétinisme ils ne sont plus très nombreux !

Ceci permet surtout d'avoir un immense réservoir d'internautes espionnés dans la joie et de leur propre chef avec toutes ces barres (chacun veut la sienne, Google, NetCraft, McAfee Site Advisor etc. ...).

NetCraft ToolBar
Les outils comme la NetCraft ToolBar ne servent donc à rien car le temps que ses bases de données soient à jour, le gang est déjà passé à autre chose. En sus, NetCraft est l'un des plus importants opérateurs en statistiques sur Internet (et donc de tracking / profiling). La mesure du risque qu'il nous donne sur un site est une estimation, pas une certitude et on peut le soupconner de proposer l'installation de sa barre d'outils pour récolter des informations sur tous les sites visités par tous les internautes (puisque chaque page visitée donne lieu à une remontée d'informations vers NetCraft) plutôt que pour nous délivrer quelques infos sur des sites nés il y a à peine quelques heures et qui auront disparus lorsqu'il sera en mesure de porter un jugement approximatif et statistique sur le dit site.

Internet Explorer 7
Internet Explorer 7 tente par tous les moyens de se refaire une virginité mais ses technologies embarquées (ActiveX et BHOs, par exemple) et son lourd passif lui interdisent toute crédibilité.

Google Safe Browsing
Google Safe Browsing est mauvais et n'échappe pas aux mêmes remarques que pour la NetCraft ToolBar.

eBay ToolBar
eBay nous dit clairement qu'il collecte tout sur nous et qu'il le partage avec plein de monde non identifié :
We may collect and store the following personal information:
  • email address, physical contact information, and (depending on the service used) sometimes financial information, such as credit card or bank account numbers;
  • transactional information based on your activities on the Sites (such as bidding, buying, selling, item and content you generate or that relates to your account);
  • shipping, billing and other information you provide to purchase or ship an item;
  • community discussions, chats, dispute resolution, correspondence through the Site, and correspondence sent to us;
  • computer sign-on data, statistics on page views, traffic to and from the Site, and ad data;
  • other information, including IP address and standard web log information, and
  • supplemental information from third parties. (For example, if you incur a debt to eBay, we will generally conduct a credit check by obtaining additional information about you from a credit bureau, as permitted by law. As another example, if the information you provide cannot be verified, we may ask you to send us additional information (such as your driver license, credit card statement, and/or a recent utility bill or other information confirming your address), or to answer additional questions online to help verify your information.)
EarthLink ScamBlocker
EarthLink ScamBlocker est mauvais

GeoTrust TrustWatch
GeoTrust TrustWatch est mauvais sur l'analyse des URLs mais a une liste noire la plus à jour.

Netscape 8.1
Netscape 8.1 est un navigateur, pas un système anti-phishing

McAfee Site Advisor
McAfee Site Advisor est une fumisterie destinée à draîner des visiteurs vers le site McAfee pour tenter de leur vendre leurs produits. Ce service n'est, tout d'abord, pas destiné du tout au blocage de sites par leur comportement (url de redirection, page de redirection, script etc. ...) mais à leur qualification en fonction de leur contenu et de critères très superficiels étayés par les remarques de n'importe quels internautes lambda qui s'auto-érigent, sous le titre de "réviseur", en censeurs ou délateurs.

Le but est de surfer sur la vague de la peur et du "tous dangereux" actuel pour drainer des prospects (de futurs clients) vers le site de McAfee. Il suffit de voir ce qui entoure la page de McAfee Site Advisor, en haut, en bas, à gauche, à droite, pour comprendre que leur seul but et de vous faire passer à l'acte d'achat de leur antivirus.

Si l'on regarde notre forum, Assiste.forum.free.fr, les analyses de logs HijackThis dont il est bourré sont le fait d'Internautes en détresse demandant du secours pour leurs machines compromises. Regardez de près un log HijackThis d'une machine attaquée : on y découvre des dizaines de liens directs vers des téléchargements de parasites dangereux à mortels, des références à des parasites déjà installés ou à des installateurs de parasites déjà téléchargés. Si SiteAdvisor, qui n'est fait que de très bêtes robots parcourant le Web, découvre ces liens contenus dans des analyses de décontamination, sur un site dédié à la sécurité informatique, il pense, à tort, qu'Assiste.forum propose ou impose des parasites et le classe en rouge ! C'est totalement idiot mais Assiste.forum sera classé en site ultra dangereux !

Dito pour notre site, Assiste.com, sur lequel un robots SiteAdvisor va découvrir les téléchargements offerts des outils de tests des pare-feu, les leaktests, ou les outils EICAR de test des antivirus. Or ces 2 séries d'outils sont considérés comme des parasites (puisqu'ils sont fait pour voir comment réagit l'antivirus ou le pare-feu testé). Notre site sera classé en rouge ! Idiot ! Dito pour certains liens contenus dans notre sire ! L'anti-logithèque (la crapthèque) du site signale tout un tas de domaines crapuleux sur lesquels il ne faut jamais aller mais un bête rôbot à la SiteAdvisor croit que nous pointons vers ces domaines et tague en rouge Assiste.

Ah ! Oui ! Ils arrêtent leurs analyses aux 8 premiers liens externes trouvés et aux 8 premiers téléchargements trouvés. Il y a belle lurette que les crapules du Net ont compris cela et mettent 8 bons liens "verts" et 8 téléchargements "verts" en premier sur les pages d'entrée de leur site. Avec cette simple disposition c'est l'intégralité de la base de données de Site Advisor qui est hackée.

Que reste t'il ? L'avis des "réviseurs" c'est-à-dire d'internautes qui se croient autorisés à donner un avis sur les autres. C'est la porte ouverte à la délation et la médisance. SiteAdvisor ouvre ses portes aux réviseurs et tiens compte, automatiquement (par robots) de leurs avis pour "bouger" le classement des sites. J'ai, par exemple, un statut de réviseur chez SiteAdvisor. Je peux parfaitement, si j'ai un site commercial, descendre en flamme les sites de mes concurrents. SiteAdvisor est, là aussi, d'une bêtise crasse.





Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music