Les moyens requis pour monter une attaque de phishing sont des plus réduits ou même totalement gratuits.
Disposer de ressources ou de compétences particulières n'est effectivement pas nécessaire pour lancer des attaques vers de grands organismes bancaires, des fournisseurs d'accès Internet ou tout autre activité ayant pignon sur rue sur Internet.
Afin d'illustrer mon propos, je vous propose d'analyser une attaque de phishing qui vise depuis quelques temps les clients d'Orange : Celle-ci fait d'ailleurs l'objet d'une page sur le site de Secuser.com, Phishing visant le fournisseur d'accès Orange (20/08/08) ; avec cependant une variante comme nous le verrons sur le Look&Feel du site de phishing.
Il va sans rappeler que ces techniques de détournement de marque, de collecte illégales d'informations personnelles sont totalement illégales et répréhensibles par la loi. Des informations détaillées sur le s attaques de phishing ciblant Orange sont disponibles sur le site d'Orange.fr à la page Sécurité, Phishing : Exemples de phishing usurpant l'identité de Orange
Les techniques présentées n'ont rien de bien compliqué : Elles sont tout à fait à la portée de l'utilisateur "averti" ou de l'adolescent ayant baigné dans l'Internet depuis son enfance.
Tout commence (classiquement) via la réception d'un email : Pour le cas qui nous intéresse, l'un de nos clients a reçu le message suivant :
L'orthographe est des plus sommaire et l'on peut voir que les accents se sont "faits la malle" au passage... Le contenu est très classique, on fait peur à l'utilisateur afin qu'il perde son sens critique et qu'il clique sur le lien indiqué en bas de la page.
L'utilisateur arrive donc ensuite sur le site de Phishing.
En toute confiance, il saisit son identifiant et son mot de passe habituel et il valide...
Et c'est juste à ce moment, pendant quelques secondes uniquement, qu'il peut se rendre de son erreur : Une page de publicité n'ayant rien à voir avec les activités d'Orange Internet s'affiche.
Cette page ne reste pas longtemps : Une redirection l'emmène sur la homepage du site d'Orange Internet... Pour un utilisateur "lambda" rien de suspect, la vie continue...
Combien cela coute-t-il ? Est-ce compliqué à mettre en place ?
- Le site de phishing est hébergé sur une plateforme d'hébergement de sites Internet gratuits localisée en Angleterre qui propose des comptes en échange de de l'insertion d'une publicité en bas de chaque page. Coût d'hébergement su site de phishing = 0€
- Les informations (login/mots de passe) sont collectés via l'utilisation d'un service de Web2Mail lui aussi gratuit. Coût d'envoi des informations collectées = 0€
- Vous complétez le tableau via un service une chaine de comptes emails (gartuits) couplés à un compte HushMail (tous les deux gratuits encore une fois) afin de recevoir les mails contenant les identifiants des personnes. Coût de collecte des login/passwords = 0€
- ... Et bien sûr vous avez pris soin de vous connecter aux sites web via une chaine de proxy ou via Tor. Coût pour cacher la source réelle de ses connexions à l'ensemble des sites web/webmails = 0€
En conclusion :
Monter une attaque de phishing est donc techniquement très simple et ne demande aucune ressources financières particulières : L'essentiel est disponible gratuitement sur web... Peut-être qu'il faudra débourser quelques deniers pour un listing d'adresses email.... et encore.... Qui sait chercher sur le web trouve.
Par rapport au attaques de Phishing que lesquelles j'ai été amené à intervenir, le site web de phishing était hébergé sur une machine compromise (un serveur web d'un client localisé derrière son accès Internet) et les informations était stockées en local sur ce même serveur via un script PHP. Une solution plus complexe et pas forcément plus performante/efficace....
Concernant les moyens et technique de protection, je vous suggère certains de mes posts précédents :
Filtres anti-phishing intégrés aux navigateurs : Comment choisir ? 13 Juin 2008
Phishing : Comment réveiller/activer le firewall qui sommeille en nous ? 20 Mai 2008
Je rappelle que les clients d'Orange Business peuvent nous signaler toute attaque de Phishing via l'adresse email phishing@orange-business.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens