93 réponses à ce sujet

[Alfred]

Nouvelle attaque au phishing Paypal en français

Une nouvelle attaque au phishing semble faire rage depuis le début de la semaine, comme nous le signale Nicolas, avec, une fois n'est pas coutume, la réception d'un email Paypal vous informant que votre compte a été suspendu. Comme d'habitude le mail vous indique que votre compte est suspendu pour des raisons de sécurité et vous enjoint à vous connecter sur le site Paypal pour confirmer vos informations de facturation. Naturellement, le site en question récupère les identifiants et mot de passe ainsi saisis pour les exploiter frauduleusement.

Si cette attaque n'a rien de novateur dans son concept, il y a tout de même une particularité : le mail est entièrement rédigé en français, ce qui n'est pas une première mais reste relativement en rare en règle générale. Il est de sucroît très proche du style adopté par Paypal pour ses communications officielles (c'est le principe du phishing vous me direz) avec en prime des publicités pour Skype et eBay notamment. Seul détail qui cloche, l'email en question vous aiguille vers un site dont le domaine se termine en co.kr. Prudence donc !

via clubic.com

[Alfred]

RSA : constat d'impuissance face au phishing

Les conclusions de la conférence mondiale de la sécurité RSA qui s'est tenue à San Francisco sont inquiétantes... Les plus grands spécialistes de la sécurité informatique ne peuvent qu'admettre l'impuissance des solutions existantes face aux menaces véhiculées par Internet. Les nouveaux escrocs du web ont une longueur d'avance.

Défaitistes les responsables de la sécurité informatique ? Non, plutôt inquiets de la situation actuelle. Ils ont en tout cas tiré leurs conclusions de leur rencontre à la conférence mondiale du RSA qui s'est tenue dernièrement à San Francisco. Et elle est rude cette conclusion... Selon eux, à l'heure actuelle, il n'y a tout simplement aucune parade à la nouvelle génération de menaces et notamment celle du phishing dont sont victimes bien malgré eux les sociétés et internautes du monde entier.

Les éditeurs à la traîne

Un premier constat : les pirates sont devenus au fil des années de vrais professionnels de l'escroquerie, très ingénieux et ayant pour seule motivation l'argent. L'époque du gentil pirate qui s'amusait à pénétrer les systèmes par défi ou distraction est révolue. En une dizaine d'années on a vu peu à peu grandir la menace et aujourd'hui, ce sont de véritables bandes organisées qui mènent la danse de l'insécurité informatique.

Pour des objectifs commerciaux, industriels et même d'affaire d'état, rien ne semble freiner les pirates dans leurs démarches frauduleuses. Et tout le monde est concerné. Le particulier qui se croit protégé ne l'est plus forcément. Car aucune solution mise actuellement à disposition du grand public n'est capable de contrer les nouvelles attaques. Les éditeurs de logiciels de sécurité ont semble t-il pris un train de retard et ont tardivement pris le problème à bras le corps.

Le cas du Cross-Site Scripting

Cliquer sur l'image pour l'agrandir

Si le catalogue des méfaits est aujourd'hui bien connu, le RSA s'est penché sur le cas particulier du phishing qui subtilise des informations confidentielles sur les postes cibles.

Un phishing nouvelle génération intitulé le Cross-Site Scripting (voir illustration ci-dessus), une méthode qui permet de faire du phishing à partir du site véritable. Car même les plus malins se laissent duper, logiciels compris. Nous vous en parlions il y a quelques jours. C'est la banque elle-même qui ici nous induit en erreur ou plutôt nous maintient en confiance. La plupart du temps, le pare-feu n'y verra... que du feu. Les pirates ont rodé leur système pour passer toutes les protections en faisant des tests de réponses sur leurs cibles dans le but de découvrir des failles de programmation inconnues.

Si pour les grandes sociétés soucieuses de leur sécurité et de leurs données, un bon administrateur réseau réussira à isoler ces nouvelles menaces en virtualisant les échanges et en cloisonnant en quelque sorte les trafics de données, pour nous, simples utilisateurs d'Internet, aucune solution n'est véritablement efficace face à ces menaces en trompe-l'oeil.

La vigilance préconisée est pour l'instant de ne jamais cliquer sur un lien reçu par email même si celui-ci provient d'un tiers de confiance institutionnel comme une banque, une compagnie d'assurance ou même un commerce. Décidemment sur le web, la confiance, cela devient de plus en plus compliqué... et risqué.

via generation-nt.com

[Ardwen]

Et, si l'on peut dire, force à continuer d'utiliser les "bonnes vieilles méthodes" de communications... Téléphone avant d'engager quelque procédure que ce soit, courrier papier... Bref, cela empêche un peu d'avancer vers ce progrès formidable qu'est le net, je trouve... Et c'est très préjudiciable aux établissements qui veulent proposer de nouveaux services rapides à leurs clients et/ou usagers...

Un vrai gâchi...

[Alfred]

Une nouvelle méthode de phishing a été mise à jour

Des chercheurs de l'école supérieure d'informatique de l'Indiana et de la société de sécurité informatique Symantec ont mis à jour une nouvelle menace sur Internet.

Vous en avez très certainement déjà entendu parler, le phishing ( ou hameçonnage ) est une technique frauduleuse qui consiste à envoyer un courrier électronique contenant un lien pointant vers un faux site web imitant, parfois à la perfection, un site web de confiance ( celui d'une banque, d'une institution ou d'une assurance par exemple ). Le but est de duper l'internaute naïf afin de lui subtiliser ses données personnelles ( identifiant, mot de passe, numéro de code bancaire, etc. ). Même si cette arnaque fait encore de très nombreuses victimes, les pirates informatiques l'ont bien compris, elle sera de moins en moins rentable au fil du temps.

Qu'à cela ne tienne, les fraudeurs ont plus d'un tour dans leur sac et commencent déjà à exploiter une nouvelle méthode de phishing nommée " Drive-by Pharming ". La plupart des internautes ( 90 % des internautes selon les dires de la firme de sécurité Symantec ) laissent l'option " JavaScript " activée dans leur navigateur web, chose qui n'a bien évidemment pas échappé aux pirates. Depuis peu, des pages web contenant un code malicieux ont ainsi été mises en place. Ces fameux scripts tentent de pénétrer dans l'interface du routeur pour en modifier les paramètres DNS ( Domain Name System ). Pour rappel, le système DNS permet d'associer une adresse IP ( Internet Protocol ) à une adresse URL ( Uniform Resource Locator ). C'est ainsi que l'internaute peut saisir " google.fr " ou " microsoft.com " au lieu de retenir une pléthore d'adresses IP de type " xxxx.xxxx.xxxx.xxxx ".

Ces modifications permettent de changer le serveur DNS d'origine par un serveur DNS possédé par le pirate, qui pourra alors, lorsque l'internaute saisira son adresse par la suite, le rediriger vers un site frauduleux sans que sa victime ne s'aperçoive de quoi que ce soit. Effectuer ces changements est d'autant plus aisé que beaucoup d'internautes ne changent pas les identifiant et mot de passe permettant d'accéder à l'interface de leur routeur. Des identifiants ou mots de passe de type " admin " ou " routeur " n'étant pas franchement difficiles à retrouver, les grandes marques ayant à peu près les informations de connexion par défaut pour tous les modèles, le script n'a aucun mal à entrer dans l'interface du routeur et changer les paramètres.

Il est donc vivement conseillé de changer les identifiant et mot de passe choisis par défaut et de désactiver le JavaScript si son activation ne s'avère pas nécessaire pour les sites web sur lesquels vous surfez.

via generation-nt.com

[Alfred]

Le Crédit Agricole, cible d'une attaque par phishing

Une attaque par phishing prend pour cible cette semaine en France le Crédit Agricole. Le scénario est toujours le même : des internautes, ciblés au hasard, reçoivent un mail provenant en apparence de la banque et intitulé « Banque Crédit-Agricole : un message important ».

Le mail invite, sous un faux prétexte, l'usager à rentrer ses coordonnées bancaires (login mot de passe, etc.) sur un site. « Le département technique de Crédit Agricole procède à une mise à jour de logiciel programmée de façon à améliorer la qualité des services bancaires. Nous vous demandons avec bienveillance de cliquer sur le lien ci-dessous et de confirmer vos détails bancaires. »

Le lien apparent (cantal.credit-agricole.fr/id…etc.) ne correspond en rien au lien réel, de forme cantal.credit-agricole.fr.id042**.agv****.net. On notera ainsi la construction, faite pour berner l'utilisateur.

Le site cible mime le site de la banque, reprenant le gros bloc jaune dédié à la saisie des informations personnelles. Contrairement à l'URL, la demande vise toutes les caisses régionales pour assurer une escroquerie des plus parfaites. Selon la base Whois du domaine frelaté, le site est enregistré au nom (apparent) d'un certain K. Haines, un Anglais. Il a été acheté le 1er mars auprès de Gotnamedomains.com.

Filtre antiphishing

Les filtres anti-phishing implantés dans les plus récents navigateurs commencent à détecter l'arnaque. Firefox alerte ainsi l'internaute d'une « suspicion de site web contrefait », une fois arrivé sur la page. Internet Explorer reste silencieux, pour l'instant.

Sous Firefox

Le faux, Le vrai

Ce n'est pas la première fois que des banques françaises sont victimes d'une campagne de phishing. En mai dernier, déjà, BNP Paribas, CCF, CIC et la Société générale étaient ciblées, suivies quelques semaines plus tard par le Crédit mutuel et Le Crédit Lyonnais.

L'une des meilleures protections en la matière est avant tout d'éviter de cliquer aveuglément sur tous les liens attachés dans un mail et de toujours préférer une saisie à la main de l'URL en cas de doute.

« Les dégats ont été limités »

Contactée, le Crédit Agricole nous indique que « les dégâts ont été limités » mais toutefois « nous n'avons pas de remontées sur le nombre de clients ». Aucun chiffre n'a donc été fourni à ce jour sur le nombre de personnes impactées. Les démarches sont actuellement en cours pour faire fermer le site fallacieux et colmater les éventuels problèmes. De leur côté, les caisses régionales (un exemple) ont toutes diffusé sur leur page de garde un rappel des consignes de base en la matière.

via pcinpact.com

[Alfred]

Progression de 166% des sites de phishing en avril

Plus de 55 000 sites frauduleux ont été identifiés par l'APWG en avril. Une véritable course contre la montre s'est engagée entre les pirates et les filtres antiphishing. La France hébergerait 26,9% de ces sites, 15% selon PhishTank.

La fin du phishing n'est pas pour demain. Le phénomène des escroqueries sur Internet est bien au contraire sur une courbe ascendante. Si le mois de septembre 2006 avait été marqué par un reflux du nombre de cas de phishing (22 136 contre 26 150 en août), la tendance des derniers mois et de ce début d'année 2007 est clairement à la hausse, comme l'illustrent les chiffres de l'Anti-Phishing Working Group.

En effet, selon le dernier rapport publié par l'APWG, un groupe de travail international de lutte contre le hameçonnage, le mois d'avril a été marqué par une véritable explosion du nombre de nouveaux sites de phishing. En l'espace d'un mois, ils ont ainsi explosé de 166%, avec 55 643 sites recensés en avril par l'APWG, contre 20 871 en mars.

OAS_AD('x06');Pourquoi une hausse si forte et si soudaine ? Vraisemblablement en riposte aux filtres antiphishing de plus en plus répandus, notamment grâce aux navigateurs Internet intégrant directement ces outils, alertant ainsi les internautes. La finalité des pirates est donc de prendre de vitesse les filtres, de la même manière que pour les antivirus ou les logiciels antispam. Les escrocs ne multiplient pas les enregistrements de domaines Web, mais plutôt les URL, en alternant les sous-domaines.

Si le nombre de sites de phishing grimpe en flèche, les campagnes électroniques ont, elles, reculé. Cela signifie donc que pour une même attaque de phishing, les pirates se contenteront de faire évoluer l'adresse du site frauduleux, échappant donc aux filtres mais aussi aux actions des éditeurs de sécurité ou des autorités parvenant à obtenir leur fermeture.

Les attaques restent toujours très ciblées puisque sur les 172 marques visées en avril (166 en mars), 11 représentent à elles seules 80% des opérations de phishing. Dans 92,5% des cas, il s'agit d'entreprises du secteur de la finance. Quant à la durée de vie d'un site piégé, elle est très logiquement en baisse, à 3,5 jours. Une espérance de vie trop grande accroît en effet les chances d'une inscription dans une liste noire. Celle-ci était de 5 jours en janvier 2006, 4,5 de la même année et de 4 jours en février 2007.

Les Etats-Unis restent le premier hébergeur de sites de phishing avec 28,44%. Résultat plus surprenant, la France arriverait en seconde position, à 26,9%, devant la République de Corée (21,05%). La progression, si la tendance se confirme dans les prochains mois, serait fulgurante puisque, en février, la France ne représentait que 4,43% des sites frauduleux.

Les statistiques publiées par le projet communautaire PhishTank octroyait à la France une proportion de 15%, derrière les Etats-Unis (19%), mais devant la Turquie (14%) et la Corée du Sud (10%). PhishTank a recensé en avril moins de cas d'escroquerie en ligne que l'APWG, avec 40 549 sites soumis par la communauté, et des cibles de prédilection qui sont PayPal et eBay.

via journaldunet.com

[Alfred]

Phishing ciblant les utilisateurs francophones du service Paypal

Une nouvelle escroquerie par phishing a lieu depuis le 15/07/07, ciblant les utilisateurs francophones du service de paiement en ligne Paypal. Elle se présente sous la forme d'un courrier électronique en français intitulé "Notification de restriction de l'acces au compte", prétendument envoyé par le service en ligne (support@paypal.fr) :

Sous prétexte de réactiver l'accès au compte suite à une tentative d'accès frauduleux, le message demande à l'internaute de cliquer sur un lien hypertexte et d'entrer ses codes d'accès au service en ligne. Il ne faut pas cliquer sur le lien concerné, car il conduit à une imitation du site de la société contrôlée par un individu malveillant :

Ce courriel est une tentative d'escroquerie dite par phishing, le même message ayant été envoyé à un très grand nombre d'internautes dont les adresses ont été composées automatiquement ou collectées illégalement. Le lien hypertexte présenté dans le message ne conduit pas au véritable site de la société Paypal, mais à une imitation mise en ligne très peu de temps avant l'envoi du message (le nom de domaine concerné a été réservé le 14-Jul-2007 10:57:49 UTC). Il ne faut pas fournir les renseignements demandés : si vous avez été abusé et avez déjà communiqué ces renseignements, connectez-vous au véritable site de Paypal et changez votre mot de passe.

via secuser.com

[Joelabete]

Ha ben c'est malin de la part de secuser de pas crypter l'url sur le screen shot ...

Modifié par joelabete, 15 Jul 2007 - 20:28.

[Taryn]

Je crois que j'ai déjà eu ce truc!Vu que je ne suis même pas utilisatrice de Paypal, j'ai viré.

[cerede2000]

Moi j'ai fallit me faire avoir une fois pour un truc paypal comme ça, j'ai remplit les formulaire et tout, mais a la fin je me suis rendu compte de l'escroquerie donc j'ai tout de suite ete sur paypal changé mon MPD et virer ma carte bancaire comme ca pas eu de soucis

[Alfred]

toujours via secuser.com :

Phishing ciblant les clients de Free

Une nouvelle escroquerie par phishing a lieu depuis le 14/07/07, ciblant les clients du fournisseur d'accès à Internet (FAI) Free.fr. Elle se présente sous la forme d'un courrier électronique en français intitulé "Suspension de compte", prétendument envoyé par un expéditeur nommé FreeBox <News@Update.FreeBox.Fr> :[af] à noter les quelques fautes d'orthographe [/af]

Cher(e) client(e)

Merci de lire attentivement ce courrier. Il contient des informations
essentielles, destinées à faciliter l'utilisation de votre compte Freebox et le
recours à ses différents services.

Free.fr A l'honeur de vous annoncer qu'elle a enfin mis
à votre disposition un systeme de sécurité total.

Pour en savois plus et souscrire a ce programme
Veuillez cliquer sur le lien ci-dessous

https://security.fre.../mai/client.php

Pour plus d'informations, nous vous invitons à consulter l'un des
supports proposés ci-dessous :
Site : http://adsl.free.fr
Free assistance : http://www1.assistan....fr/v1/accueil/
Hotline : 32 44 (0,34 euro/mn depuis une ligne fixe). Le service est
disponible 24h/24h, 7jours/7.

Merci de la confiance que vous nous témoignez. Nous vous souhaitons
une agréable utilisation de votre Freebox,

L'équipe Freebox

Sous prétexte d'une suspension du compte et de l'adhésion à un nouveau système de sécurité, le message demande à l'internaute de cliquer sur un lien hypertexte et d'entrer ses codes d'accès au service en ligne. Il ne faut pas cliquer sur le lien concerné, car il conduit à une imitation du site du FAI contrôlée par un individu malveillant :

Ce courriel est une tentative d'escroquerie dite par phishing, le même message ayant été envoyé en nombre à des internautes dont les adresses ont été composées automatiquement ou collectées illégalement. Le lien hypertexte présenté dans le message ne conduit pas au véritable site de la société Free, mais à une imitation contrôlée par un individu malveillant. Il ne faut pas fournir les renseignements demandés : si vous avez été abusé et avez déjà communiqué ces renseignements, connectez-vous au véritable site de Free et changez votre mot de passe.

[scouby999]

Salut à tous.

Attention c'est un peu long, mais à lire en entier - Important
Tentative d'arnaque par téléphone par "faux" orange

Hier au bureau j'ai reçu un appel téléphonique d'un conseiller qui s'est présenté comme "orange".

Avec son accent il semblait être d'une hotline située dans un pays étranger (attention rien de raciste dans mes propos c'est juste pour situer l'histoire et puis c'est la vérité).

Il me demande si j'ai bien l'offre orange internet 8 mega avec livebox, je lui dis oui sauf que j'ai pas de livebox.

Il me demande, vous payez combien actuellement ? Je réponds dans les 29 €/mois.

Il me dit 29,89 €, je dis oui c'est ça.

Il me dit on vous propose de passer à 18 mega pour le même prix avec la livebox.

Je dis que ça m'intéresse pas trop (pas besoin de grosse connexion au bureau...)

Il insiste un peu, et je lui dis ok pour le même prix mais sans la livebox.

Il me dit OK, prenez une facture.

Je m'exécute.

Il me demande mon N° client que je lui donne, puis me demande de lui communiquer la "référence de compte" qui se trouve en bas de la facture.

J'allais lui donner ce N° et là en réfléchissant je me rends compte que c'est notre N° de compte bancaire.

Je lui dis que c'est mon N° de compte et qu'ils l'ont déjà que je vais pas lui redonner.

Il me dis que si qu'il en a besoin, qui lui il a la clé RIB, que le N° de compte est codé, mais que pour valider ma commande par le service commercial il lui faut le N° de compte.

Je lui dis que non y a pas moyen

Il me dis ben à ce moment là vous n'aurez pas l'offre... je lui dis c'est pas grave et je raccroche.

Trouvant tout ça bien suspect, j'appelle orange au service client.

J'explique mon pb, et la dame me dit que c'est pas eux qui ont appelé, que les 18 mega c'est à 39 €/mois.

C'étais donc bien une arnaque

Par contre je lui ai dis que la personne avait surement "piraté" la base de données orange, comment pouvait elle savoir que j'étais : abonné, orange, que j'avais une offre à 8 mega...

et donc elle a noté mon appel sur mon dossier et a dit qu'elle ferait remonter l'info à ses supérieurs.

Voilà, donc soyez prudent !

A+

Modifié par scouby999, 17 Oct 2008 - 10:12.

[boxeur94380]

J'ai eu exactement le meme appel!!!De la part de ALICE!!
J'ai senti le piege a plein nez et en plein milieu de son "cirque"(il m'a demandé mon numero de compte le fou!)Je lui ai dit bye bye!!

[scouby999]

et ils sont tombés bon tu es bien chez Alice ?

Si oui c'est clair qu'ils ont les bases de données des clients des FAI !!!

Pour moi le pire c'est que l'abo internet du bureau est sur la ligne fax et qu'ils ont appelé sur la ligne du tel normal ! (donc ça veut dire qu'ils ont fait des recherches en +...)

A+