Archives pour la catégorie Phishing

La méthode des hackers la plus utilisée est le phishing. Il en existe cependant plus sorte. Nous avons décrypté pour vous les méthodes des hackers et nous vous expliquons comment éviter de tomber dans le piège.

Adopter une attitude réfléchie face au phishing

La cybersécurité aujourd’hui au cœur de toutes stratégies de développement d’entreprise.

*À ce niveau, il est important de miser beaucoup plus sur la sensibilisation car la méconnaissance du secteur de la sécurité informatique cause plus de problèmes que les défauts d’outils informatiques ou de sécurité. C’est d’ailleurs à ce propos que mentionnait Emmanuel Schalit, co-fondateur et PDG de Dashlane ces mots : « La sensibilisation de votre entreprise aux menaces les plus courantes et aux meilleures pratiques permettra d’atténuer les risques auxquels votre entreprise est exposée par l’intermédiaire de ses employés. Sans une approche réfléchie de la sécurité qui s’inscrit dans le temps, votre organisation peut se retrouver être la prochaine victime d’un vol de données. ».

Cet article va aussi vous intéresser : Les conseils de Checkpoint pour la rentrée

Alors nous avons dans cet article, nous vous donnerons quelques éléments relatifs la protection contre l’hameçonnage. En prélude Voici les signes qui permet de détecter une possible attaque liée au phishing.

1- L’instauration d’un sentiment d’urgence

Généralement, le phishing se fonde sur l’instauration d’un sentiment d’urgence. Les pirates informatiques vont proposer quelque chose à faire ou exiger la réalisation d’une action en limitant la possibilité a un délai court. En d’autres termes lorsque vous recevez un SMS ou encore un email à vous demandant de faire quelque chose ou de confirmer une option ou une connexion, et cela dans un délai court, prenez votre temps, analyser le message, et si possible renseignez-vous auprès des services idoines

2- Le caractère général des messages envoyés

Dans le cadre d’une campagne de phishing, le pirate informatique a tendance à envoyer des millions le message que ce soit par SMS ou par email. Ce qui signifie que lorsque vous recevez message qui ne contient pas votre nom, méfiez-vous automatiquement et adopter une procédure de vérification. Si le nom d’une structure qui est mentionné, n’hésitez pas à la contacter par une autre voie. La question du caractère en général concerne aussi l’absence de formule de salutation qui vous est directement adressée. Dans ce cas restez toujours méfiant

3- Une adresse électroniques non conforme

Evidemment les campagnes de phishing passent généralement par des systèmes de contacter illicite. En d’autres termes c’est vrai certainement mes messages ou des e-mails provenant d’adresse non officielle. Alors l’e-mail viendra compte personnel ou encore d’un compte usurpé, dans la syntaxe différente de celle du véritable compte. Alors face à des messages de nature douteuse, essayez plutôt de contacter la société ou l’organisation concernée pour mieux vous informer sur la procédure à suivre. C’est la meilleure solution dans ce contexte sinon vous vous exposez également à un vol de données.

4- Des erreurs dans la composition des messages

Il n’est pas rare d’observer des erreurs dans la composition des messages destinés aux phishing. Que ce soit des erreurs d’orthographe ou de grammaire, vous en trouverez forcément dans les messages destinés à vous tromper. Ce qui veut dire que vous devrez être minutieux lors de la lecture des e-mails au des messages qui vous incite on à initier de conversation en ligne.

En outre, il faut signifier que ce genre d’homme à la sécurité des systèmes d’information ou aux données des internautes ne se fait pas sans signe. En effet il y a toujours quelque chose qui permet de savoir que la chose ne tourne pas rond. Il faudrait être alors alerte et maîtriser ses signalements. Dans un tel contexte, Emmanuel Schalit propose : « Afin de sensibiliser davantage les employés à ces pratiques et d’éviter d’en être victimes, les entreprises devraient envisager d’effectuer des tests : créer des faux emails de phishing (et des sites web si possible) qui seront ensuite envoyés aux employés. Effectuer ce test aidera les employés à mieux comprendre les différentes formes que peut prendre une telle attaque, à mieux identifier les signaux, et à souligner l’importance d’éviter de cliquer sur un lien suspect. ». En effet, grâce à une étude réalisée récemment par l’Institut Pokémon, il a été admis que les simulations d’attaque par hameçonnage ont eu pour impact immédiat, l’augmentation du taux de vigilance de la part des employés qui ont été confronté à cela et a permis aux entreprises d’obtenir un retour sur investissement de près de 40 %. Et cela en comparaison des stratégies traditionnelles liées à la formation de la cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Coronavirus et Cybercriminalité : les pratiques qu’il faut craindre le plus

Comme toute catastrophe naturelle ou toute crise ayant une ampleur mondiale, il existe toujours cette catégorie de personne profitant de la détresse d’autrui pour leur soutirer de l’argent.

Dans ce contexte nous allons parler des cybercriminels. La cybercriminalité s’est accrue ces derniers moments tout le monde le sait maintenant. Ils adoptent de plus en plus les mêmes pratiques mais généralement visant les mêmes objectifs. Dans ce contexte, les arnaques deviennent fréquentes. À chaque message que vous recevez, vous encourez le risque d’être arnaquer. « Lors d’une crise sanitaire, ou tout autre type de catastrophes, si l’on constate que l’humanité s’avère majoritairement solidaire, il n’en demeure pas moins que d’aucuns sont à l’affût – on et offline – pour tirer bénéfice sans une once de scrupule d’un malheur collectif.

Cet article va aussi vous intéresser : La criminalité informatique, des pratiques qui rapportent gros

Si nous partons du postulat que tout événement violent et soudain est susceptible de provoquer un état de sidération, cet état entraîne un afflux d’excitation suffisant à mettre en échec les mécanismes de défense habituellement efficaces. Dans un état de sidération, notre esprit critique mis à mal a une fâcheuse tendance à baisser sa garde. » soulignait Yannick Chatelain, journaliste. En effet, les appels aux dons depuis l’évolution de la pandémie des coronavirus ont été une aubaine pour certaines personnes de mettre sur pied certaines stratégies visant à arnaquer des personnes de bonne foi. Les institutions publiques continuent de leur côté de sensibiliser et d’interpeller l’opinion sur ce genre de pratique. De son côté, la DGCCRF

(Direction générale de la concurrence, de la consommation et de la répression des fraudes) recense sur son site web, les arnaques où les tentatives d’escroquerie détectées, fondées sur la crise sanitaire du moment.

Trois techniques ont été observées comme étant le plus utilisées par les cybercriminels. On parle notamment de l’hameçonnage (phishing), du Scamming et du Spear phishing.

1. L’hameçonnage (Phishing), un classique

Le phishing est un classique en matière de cybercriminalité. Rare sont les attaques informatiques d’ampleurs qui sont initiées sans passer au préalable par une campagne de phishing. Il faut simplement noter que les pirates informatiques utilisent les identités visuelles au graphisme en des organisations internationales pour vous attirer sur des plateformes qu’ils contrôlent. Une fois cela fait, ils vont soit vous pousser à fournir ces informations vous concernant dont ils pourront s’en servir plus tard, où ils profiteront pour installer sur votre terminal, des programmes malveillants qui leur permettront soit de vous espionner, soit de récolter des données personnelles. Tout cet ensemble est forcément préjudiciable pour vous. Méfiez-vous donc des courriers électroniques que vous recevez, et éviter surtout de cliquer sur les liens provenant de ces courriers.

2. Le Spear Phishing

C’est une stratégie qui ressemble à la première. Son objectif est bien sûr de tromper la cible pour soit de collecter des informations, soit installer des programmes malveillants pouvant permettre à la collecte d’informations ou la prise de contrôle d’un système. À l’inverse de l’hameçonnage classique décrit plus haut, cette forme en est personnalisée et destiné à une cible en particulier. Elle s’appuie généralement sur un réseau personnel ou professionnel.

3. Le Scamming

Appelé aussi l’arnaque nigériane ou encore la fraude 419 en référence de la disposition légale nigériane qui sanctionne cette fraude, cette méthode semble être une variante du spam.  Il consiste à l’envoi massif de courriels. Contrairement aux phishing, lui ne touche pas le secteur professionnel, mais cible uniquement que les particuliers. Son objectif et bien sûr d’abuser l’internaute, mais en utilisant un système plus sociale. En effet, le cybercriminel rédige un message de sorte à faire pitié à l’internaute. Pour attirer sa sympathie et lui soutirer de l’argent. Mais cela en poussant la personne ciblée, souvent au hasard, à lui fournit le maximum des informations personnelles.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Hameçonnage : 4 manières de se servir du coronavirus

Le phishing ou l’hameçonnage est une pratique de cybercriminalité qui consiste a attiré sur une plate-forme non officielle l’internaute.

Pour réaliser cela, le cybercriminel utilise une méthode classique consistant à envoyer un message (dans la majorité des cas un Mail) à sa cible contenant un lien qui soi-disant lui permettra d’avoir une information qui pourrait l’intéresser.

Cet article va aussi vous intéresser : La protection des données personnelles à l’épreuve de la pandémie du coronavirus

En cliquant sur ce lien, ce dernier est automatiquement redirigé vers un espace contrôlé par le cyber criminel. Ce dernier peut alors profiter de cela pour récolter des informations personnelles sur sa victime, où installer un programme malveillant sur le terminal de ce dernier. Dans la pratique générale les cas de phishing sont très courant. Et c’est aussi avec l’évolution de la pandémie, nous assistons à une explosion de l’utilisation de cette méthode. À ce sujet, Ely de Travieso, référant en matière de sécurité informatique de la CPME notait ceci : « Il y a une très forte augmentation des attaques virale autour du covid-19, qui suivent les zones les plus touchées par la pandémie : l’Asie, l’Italie, l’Est de la France et Paris… et la région très certainement. (…) Les pirates surfent notamment sur la très forte émotion suscitée, le stress provoqué mais également les nouvelles conditions de travail, dans un environnement technique pas toujours sécurisé. ». « Tout cela est dénué de sens moral, mais c’est malheureusement souvent le cas en matière de cybercriminalité, pour parvenir à ses fins les attaquants surfent sur les sujets tendance, la peur, etc. » soutient à son tour Sébastien Gest, un spécialiste de la sécurité informatique, expert chez Vade Secure. Ce dernier va observer 4 manières pour les cybercriminels d’utiliser la méthode de l’hameçonnage pour profiter du coronavirus.

Méthode 1 : La promesse de survive au coronavirus.

Sébastien Gest a observé deux types de ménaces qui transparaît à ce niveau : « (Le premier) est caractérisé par l’utilisation d’une image à la place du texte. Dans le but de contrer les filtres de détection, une image est affichée sur fond blanc à l’utilisateur. Si cette dernière affiche par défaut les images dans les emails, il n’aura aucune possibilité de détecter la supercherie. » au niveau de la seconde catégorie, il note que le groupe d’emails « s’apparente à des emails marketing assez travaillés. La qualité graphique rappelle d’ailleurs celle de séries à succès. ».

Méthode 2 : La vente des fameux masques de protection « via les cartes de fidélité »

« L’arnaque à la carte de fidélité s’est transformée en email publicitaire vantant les mérites d’un masque « certifié » permettant de prévenir le coronavirus. » explique Sébastien Gest. En clair, lorsque l’internaute clique sur le faux lien qui lui sera proposé par les pirates, il sera automatiquement redirigé vers un faux site de vente de masques.

Méthode 3 : l’appel au don en faveur de la recherche en vu de trouver un vaccin.

On pourra dire que c’est l’un des plus courants. Ce genre de message factice a été observé depuis le début du mois de février. En-tête des organisations usurpées, l’identité visuelle de l’Organisation mondiale de la santé a beaucoup été utilisée dans ce genre de pratique. Et il est évident que cela continuera pendant un bon bout de temps

Méthode 4 : l’offre d’achat des remèdes contre la maladie.

La panique suscitée par la pandémie pousse certains internautes à se faire facilement tromper. C’est par cela que certains cybercriminels vont proposer des médicaments remèdes permettant de soigner la maladie. Même si cela semble un peu tiré par les cheveux, certaines personnes se font tromper malheureusement.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Quels moyens pour reconnaitre le phishing (l’hameçonnage) ?

Parmi les nombreuses techniques de piratages, il en existe un qui attire l’attention par sa simplicité et son efficacité, le « Phishing » ou encore dans la sphère francophones on dit l’hameçonnage.

C’est une technique captatoire qui consiste à récupérer des données personnelles ou non personnelles par des courriers électroniques. Le pirate commence à diffuser des messages électronique en masse dans des boîtes de réception de ces internautes cible.

Cet article va aussi vous intéresser : Qu’est-ce que le phishing ?

Il faut signifier que une telle attaque se produit pratiquement tous les jours et sachez que aucun d’entre nous est à l’abri. Dans la majeure partie des cas, les adresses électroniques des victimes sont obtenues frauduleusement. Dès que vous ouvrez le courriel, vous serez invités à cliquer sur une adresse numéro dont vous ne verrez pas afficher URL.

Ce genre de lien vous conduira généralement à un formulaire sur une page web que vous semblerez connaître. Dans tous les cas la page vous sera familière. En réalité, vous serez dirigé vers un site dit miroir. Le but de cette manœuvre est de pousser l’internaute donner certains renseignements sur lui pour ensuite l’exploiter à son détriment.

Notons qu’il est très difficile de distinguer les mails Sûrs des mails pièges même si vous ne doutez pas que votre système fait le tri entre les mails sécurisés et mails douteux (spam).

Cette confusion du système s’explique par le fait que les pirates informatiques améliorent de plus en plus leurs techniques. En effet, on en arrive au stade duquel ces derniers refont parfaitement les éléments d’identification des services appâts, cela peut être les logos, les sites web ou encore la typographie. Par ce moyen, ils arrivent à usurper facilement le titre de vos services préférés ou habituellement utilisés tels que votre banque ou même votre fournisseur. Ils étendent souvent leurs manœuvres aux sites gouvernementaux, ou d’autres services publics tels que les hôpitaux et les écoles.

Dans la perspective ou vous tombez sur certaines anomalies sur votre service de messagerie ou un lien douteux, vous aimerez peut-être face à cette forme de piratage.

Les précautions à prendre pour vous protéger

 Vous devrez faire attention à tous les courriels que vous récupérez tous les liens sur lesquels l’on vous redirigera. Éviter les redirections non sollicitées et surtout, éviter de remplir n’importe qu’elle formulaire. Dans le cas échéant, donnez le minimum d’informations sur vous, si possible mentez.

Un autre Critère vous permettra de vous rendre compte de la supercherie. Il se fait souvent que vous n’ayez jamais contacter la structure qui vous écris. Non pas que dans tous les cas nous sommes en face du phishing, dans la majeure partie des cas oui.

De plus le message comporte beaucoup de fautes d’écriture. Au niveau de l’orthographe ou autres fautes grammaticales. Ou encore vous verrez certaines expressions venant d’une autre langue.

Et bien sûr ce message vous demandera certainement des données personnelles, assez personnelles même je dirai. Cela pour s’agir de vos identifiants de connexion classique tel que votre identifiant mail, votre mot de passe ou encore des données comme votre adresse etc.

Et la dernière précaution, sans nul doute la plus importante, ne vérifier jamais votre identification lors d’une session quand un site dont vous ne maîtrisez pas, ou un service inconnu vous le demande. Surtout si aucune raison vraiment particulière n’explique cette vérification. Car c’est une stratégie qui a piégé plus d’un. Les pirates vous inciteront à rentrer vos données de connexion pour ensuite vos les dérobés.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Google lutte contre le phishing

Pour lutter contre le phishing qui représente plusieurs millions de mails frauduleux envoyés chaque jour, Google a décidé de mettre au point une solution très performante. Permettant de protéger ses mots de passe contre les personnes malveillantes, ce module disponible pour Chrome va radicalement changer la vie de ses utilisateurs.

6996250771_502749baf9_k

Découverte de l’extension Chrome Password Alert

Innovation très bien conçue, cette nouvelle extension agit comme une alerte lorsque son mot de passe est en danger. Elle met en œuvre tous les moyens qui permettent de protéger les utilisateurs. Une des méthodes choisies est de faire comprendre qu’il est important de multiplier les mots de passe pour plus de sécurité. Lorsque le même mot de passe que sur Gmail ou sur Google for Work sera saisi ailleurs, une alerte sera lancée pour inviter à le modifier immédiatement.

Cet alerte mot de passe est une arme redoutable contre le phishing car elle est capable de scanner les codes html et d’indiquer les sites qui sont suspects. Cet aspect va éviter de communiquer des informations trop personnelles sur des sites qui sont en réalité conçus pour attirer les internautes. En arrivant sur une page web, il suffit de consulter l’analyse de cette extension pour savoir si le site est digne de confiance. Véritable bouclier, elle va permettre de trier au fur et à mesure les sites en fonction de leurs caractéristiques. Son utilisateur pourra en effet savoir quels sites fréquenter régulièrement sans avoir à se soucier de sa sécurité et donc développer un nouveau mode de navigation en ligne.

4661376763_ef50f47492_b

Une information immédiate sur le vol de mot de passe

Si le mot de passe utilisé pour les services de Google Chrome a été détecté sur une autre page, le système va immédiatement en informer l’internaute afin qu’il puisse choisir une nouvelle combinaison afin de sécuriser davantage son compte. Savoir exactement quand son mot de passe a été piraté pour pouvoir agir est une innovation qui va être très efficace contre le phishing car il ne pourra pas être réutilisé pour trouver des informations supplémentaires en ayant accès à toute la boîte mail de la cible ou à ses documents confidentiels conservés sur un espace personnel. Pour la première fois, un outil de lutte contre ce mode de hacking voit le jour.

Pour fonctionner, cette extension va enregistrer immédiatement après son installation le mot de passe choisi en le considérant comme une empreinte numérique. Cette information va permettre par la suite de déceler lorsque la même combinaison est saisie à un autre moment pour en informer son propriétaire. Très perfectionné, ce système ne peut par contre pas fonctionner si l’internaute choisit de naviguer dans des fenêtres privées ou dans certaines applications. Cette première étape qui existe pour l’heure uniquement pour Google Chrome démontre qu’il est possible de trouver les moyens de lutter activement contre le phishing en déployant également des modes de défense contre le hacking. Si les grands noms d’Internet continuent à participer à la lutte, les résultats seront concluants.

 

Crédits photo d’illustration : Flickr /  https://www.flickr.com/photos/28288673@N07/6457165789/

Accédez maintenant à un nombre illimité de mot de passe :
Télécharger Mot de Passe