Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancée
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
Pratique
Risques
*
Risques 2004
*
Risques 2005
arrow Risques 2006
*
Risques 2007
*
Risques 2008
Publications
Documentation

> home > Risques > Risques 2006 > Phishing téléphonique

Phishing téléphonique

 One up

Alerte à tous les internautes :
Une nouvelle forme de phishing a fait son apparition sur Internet !

Tout comme pour le phishing « traditionnel », l’objectif des phishers est d’extorquer aux internautes, des informations sensibles et personnelles à fin d’exploitation, telles que leur numéro de carte bancaire (afin de vider leurs comptes bancaires par exemple).

Cette variante de phishing diffère par le fait que les informations personnelles des victimes ne sont plus collectées au travers d’un site Internet malicieux, mais via une boîte vocale téléphonique dont le numéro est indiqué dans l’e-mail servant d’appât.

Cases Luxembourg insiste sur l’importance du fait de connaître ce nouveau procédé d’attaque afin d’être capable de le repérer quand il se présente et, bien évidemment, de l’éviter.

Description approfondie

Une campagne de phishing fait intervenir :

  • Les phishers, pirates informatiques à l’origine de l’attaque,
  • Une société reconnue et digne de confiance dont le nom est usurpé par les phishers afin d’initier l’attaque de phishing. Il s’agit bien souvent de banques, de sites de commerce électronique ou de vente aux enchères sur Internet,
  • Les internautes / futures victimes de la campagne de phishing.

Tout comme le phishing dit « traditionnel », les futures victimes reçoivent un e-mail dont l’adresse source a été falsifiée et qui, de ce fait, semble réellement provenir d’une société digne de confiance et ayant pignon sur rue. Ce courrier électronique leur demande de fournir sous un faux prétexte, des informations sensibles et personnelles. Le plus souvent, il leur est demandé de communiquer certaines données liées à leurs comptes bancaires.

Le contenu du message invite les futures victimes à renseigner les informations demandées après avoir cliqué sur le lien Internet proposé. Elles sont alors redirigées à leur insu vers un site Internet, géré et conçu par les phishers pour ressembler à s’y méprendre au site Internet légitime de la société dont le nom est usurpé pour la campagne de phishing. La ressemblance du site est telle que la vigilance de tout un chacun peut être aisément trompée. L’internaute, confiant, renseigne les informations requises qui sont dès lors collectées et exploitables à des fins illégales par les phishers.

À ce niveau, apparaît la nouvelle variante de phishing : les données sensibles ne sont plus collectées au travers d’un site Internet malicieux mais via une boîte vocale dont le numéro est fourni dans le corps du message, en lieu et place de l’adresse du site Internet.

Vous trouverez ci-dessous, un exemple d’e-mail d’hameçonnage (servant d'appât) sous forme de capture d’écran et visant les clients du service de payement en ligne PayPal

Paypal example of a voip phish
©SOPHOS

Prétextant un risque de compromission du compte PayPal de l’internaute, il est demandé à celui-ci de mettre à jour ses informations bancaires. La raison invoquée par les auteurs du message est d’éviter toute utilisation frauduleuse du compte PayPal et de lutter contre les fraudes. On saisit l’ironie du prétexte quand on connaît l’objectif caché des phishers ayant envoyé ce message.

En lieu et place de la traditionnelle adresse de site Internet, est mentionné le numéro de téléphone à composer. Il est à noter que le numéro de téléphone indiqué dans l’e-mail est localisé sur le territoire des USA, ce qui renforce l’apparence de véracité du message puisque PayPal est une société américaine.

La boîte vocale mise en place par les phishers est nettement plus évoluée qu’un simple enregistreur. En effet, il faut savoir qu’elle est en mesure de détecter les fautes de frappe lors de la saisie du numéro de carte bancaire et de demander la correction de la saisie !

Un enregistrement sonore du message d’accueil de la boîte vocale qui a été généré par ordinateur est disponible sur le site de Sophos (voir en bas de page).

Complément d'information

Les attaques de phishing via téléphone utilisent la plupart du temps la nouvelle technologie VoIP (Voice over IP), la téléphonie Internet. Avec le VoIP il est devenu très facile de mettre en place une centrale téléphonique en utilisant un simple PC. De cette façon, la machine du phisher recevra directement les appels des victimes et par là-même, leurs données confidentielles.

De plus, aux Etats-unis, certaines sociétés proposent des services de « caller id spoofing », qui consistent à faire afficher un numéro de téléphone différent de celui de l'appelant. Ces pratiques permettent d'appeler ou d'envoyer des SMS provenant d'un réel numéro de téléphone (d'une banque par exemple), afin de soutirer en direct les informations intéressantes aux victimes potentielles. Il est même possible de changer la voix de l'appelant !

Bonnes pratiques et recommandations

Il est important de suivre les bonnes pratiques et recommandations de base pour ne pas tomber dans le piège du phishing :

  1. Ignorer les informations transmises par des e-mails ou des appels téléphoniques non sollicités, même s’ils semblent provenir d’organismes sérieux et fiables.
  2. Ne jamais divulguer d'informations sensibles, personnelles ou encore moins confidentielles suite à la réception d'un e-mail, même s’il semble provenir d’une organisation officielle.
    Ces démarches de contact ne font généralement pas partie de la politique de communication d’un organisme digne de la confiance de ses clients.
  3. Ne jamais se connecter sur un site sensible demandant une identification (banque, commerce en ligne, site de vente aux enchères, etc.) à partir d’un lien ou d’une adresse reçue par e-mail.
  4. Toujours se connecter sur un site sensible en tapant soi même l'adresse Internet utilisée habituellement.
  5. Suite à la réception d’un e-mail, en cas de doute sur son authenticité, sa véracité ou sur les démarches demandant à être accomplies, ne pas hésiter à contacter directement la société qui semble l’avoir envoyé.

Le contact peut se faire par téléphone ou par e-mail à condition d’avoir obtenu les coordonnées du contact par le biais d’une source sûre et éprouvée, telle qu’un annuaire téléphonique ou le site Internet officiel.

Attention, ne pas simplement rappeler suite a un appel non sollicité car le numéro affiché a pu préalablement être trafiqué !

Pour information, Cases Luxembourg a diffusé une liste plus complète de recommandations pour contrer le phishing dans son dossier « Phishing ».

Conclusion

Avec l’apparition de cette nouvelle variante de phishing se pose la question de savoir comment reconnaître la légitimité d’un numéro de téléphone donné dans un courrier électronique ?

La confiance que de nombreuses personnes ont en un numéro de téléphone et le fait que beaucoup croient qu’il est plus difficile d’usurper une boîte vocale, laisse à penser que l’exploitation massive de cette nouvelle variante de phishing risque de faire de nombreuses victimes si elle se diffuse largement.

En conclusion de quoi, Cases Luxembourg insiste sur l’importance de la sensibilisation et de la prévention dans ce domaine.

Ainsi, la meilleure protection reste encore de s’informer régulièrement, de se tenir au courant de tout nouveau procédé d’attaque afin de le repérer quant il se présente et d’éviter un maximum de problèmes en suivant les recommandations en vigueur et nos conseils sur les bonnes pratiques.



-- Cédric M. et Pascal S.


Pour en savoir plus ... ?
Liens internes
* Le premier test en ligne sur le phishing au Luxembourg
* Le dossier CASES sur le phishing
Liens externes
* L’alerte de SOPHOS pour l'exemple PayPal
* L’enregistrement sonore de la boîte vocale utilisée pour le phishing PayPal

Haut de page


  Dernière mise à jour de
  cette page le :
  23-02-2007

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact