> DIO/ Sécurité/ Comment identifier un phishing / How to identify a phishing

Le Phishing

Explications sur le phishing

Qu'est ce que le phishing Le phishing, ou hameçonnage, est

le fait de voler les identifiants de quelqu'un (login et mot de passe).
en le faisant aller sur un site pirate qui se fait passer pour un site légitime.
pour faire des actes illégaux avec l'identité numérique volée (envoi de spam, escroquerie, etc.)

Vous l'aurez compris, le serveur d'authentification unique de l'établissement et forcement une cible de prédilection pour une personne mal intentionnée.

Comment éviter le piége

Vérifiez toujours l'adresse dans votre navigateur avant de saisir vos identifiants, que ce soit à titre personnel comme professionnel.

A l'Observatoire de Paris le seveur est:

  • https://cerbere.obspm.fr/

  • Le site est obligatoirement en "https" avec présence du cadenas fermé 🔒

  • domaine "obspm.fr" uniquement pour le site d'authentification centrale afin de limiter le risque d'inversion des lettres.

Il est possible que certain site soit en "https://xxx.observatioredeparis.psl.eu" mais jamais le serveur principal. Relisez bien l'url j'ai volontairement inversé le o et le i, l'avez vous remarquez en première lecture? c'est typique de technique même si l'exemple est techniquement discutable. le l minusule de psl peux se confondre avec un I majuscule suivant les polices d' écriture. Et Si vous êtes sur un téléphone, une url très longue sort souvent de l'affichage, et on ne prete plus attention au domaine qu'on ne voit pas intégralement.

En résumé, c'est la faute d'inattention que recherche la personne mal intentionnée.

comment se retrouve-t-on sur ce faux site

Un faux site est extrement simple à réaliser, on copie on colle la page d'origine sur son site web a l'url quasi identique.

Ensuite le plus souvent on envoie un mail à la victime. C'est comme une adresse postale, on trouve facilement l'informtation.

On se fait passer pour un expidteur connu, tres simple a falsifier, ca reviendrait sur une enveloppe d'antrax d'écrire au dos expéditeur "tes parents qui pense à toi"

et le piège et tendu plus qu'a faire un mail avec un liens qui renvois sur le site en question en cherchant a provoquer la faute d'inatention vu au chapitre précédent.

C'est pourquoi la plupart des mails orienté phishing / d'extorsion plus généralement inclus les notions: - consequence important, la messagerie va être bloqué, ou la vie de bubule le poisson rouge est en jeu, heureusement bocalglass spécialiste des pare-brises d'aquarium peux le réparer. - ca vient de quelqu'un de connu donc c'est vrai, c'est ton chefs, ton service informatique, le président, le père noel, qui t'écris alors clique vite c'est forcement vrai et tape ton login mot de passe, ta messagerie sera débloque, ou une webcam secrete te montrera le bocal de bubule se vider - toujours la notion d'urgence, plus on va vite moins ont est attentif et comme c'est grave qui plus est... on tombe dans le piège.

ex Vous avez tous reçu ou connu quelqu'un qui a reçu un mail du type: - j'ai piraté ton routeur et ta messagerie c'est pour ça que tu es l'expediteur de ce mail un expediteur connu mais falsifié - j'ai aussi pris possession de ta webcam pendant que tu etais sur des sites porno, j'ai gardé toutes les preuves, tu ne pourra pas les effacer elles sont déjà sur mon serveur, je pourrais tout diffuser sur la toile consequence grave - sauf si tu me fais un virement bite-coin en cliquant ici dans les 2h, j'ai piraté ta messagerie je sais a quel heure tu as ouvert ce mail. notion d'urgence

dans cet exemple on pourrais tout aussi bien vous renvoyer sur un site de phishing, mais ici on vous demande directement de l'argent, car la finalité est bien la...

comment vos identifiants sont ils converti en argent?

Je suis désolé mais vous ne gagnerez pas un 13 mois en lisant ce paragraphe!

Vos identifiant peuvent permettre: - D'envoyez du spam, nous n'avons pas testé à la dio, mais il parait qu'en 24h il est possible de gagner des miliers d'euro. Malheureusement en cas d'abus le serveur se fait blacklisté ce qui demande du travail a vos informaticien pour corriger le problème.. - On peu tenter d'envoyer des mails aux personnes du même domaine, bien souvant en passant outre les filtres anti-spam/anti-virus, et en se faisant vraiment passer pour l'expéditeur, puisqu'on utilise son compte. De la on tente d'escroquer de l'argent, en envoyant au hasard un crypto-locker. Typiquement le mail d'un collogue, pourrais tu me valider le document en pj? - En se connectant au webmail et en cliquant sur tous les sites de e-commerce sur l'option "J'ai oublié mon mot de passe". Si par bonheur la carte bleu est en mémoire - J'ai une paire d'identifiant, une grappe de calcul, je pourrais peut être tenter de miner quelques bitcoin, non ? ou faire du brut force sur les données chiffrée que je trouve sur le reseau. - et si j'envoyais un mail à la DRH pour informer de mon changement de rib?

etc etc

Les identifiants de l'observatoire, au même titre que les identifiants informatique personnel peuvent vite se transforme en mine d'or. Il parait que l'argent collecté par les cybercriminels dépasse celui des drogues..

J'ai cliquez, que faire ?

L'erreur est humaine, la vrai erreur n'est pas d'avoir cliquez, ni reseigné ces identifiants, la vraie erreur c'est de fermer la page, de ne rien dire, on verra bien...

On se détend, on reste calme et on applique les bonnes pratique suivante:

  • Premier reflexe immédiat à avoir, c'est de changer le mot de passe en question, et le changer sur tous les sites contenant le même mot de passe. Ca peut prendre du temps, mais c'est le seul moyen de se proteger.

  • Deuxième reflexe, alerter son service informatique et la dio. Non on ne vous grondera pas en cas d'erreur, le silence en revanche offrira un stage citoyen gratuit avec les RSSI des l'établissements. Votre informaticien pourra faire déclarer le site comme frauduleux, bloqué/limité les accès à celui pour limiter l'impact etc..

  • Enfin discuter avec son entourage, ça leur évitera probablement de se faire avoir de la même façon. Il ne faut pas avoir honte bien au contraire, c'est de la personne qui se mue dans le silence qu'il faut avoir honte. Vous aiderez ainsi les Informaticiens de votre établissement a améliorer la sécurité informatique globale de l'établissement et pour ça nous vous remercions.