Le phishing et son principal vecteur de diffusion le spam

Le phishing et son principal vecteur de diffusion le spam

Introduction au phishing

Avant de parler du phishing, il est nécessaire d’introduire le spam auquel il est étroitement lié. Un spam est un message électronique non sollicité, envoyé massivement à de nombreux destinataires, à des fins publicitaires ou malveillantes. L’ampleur du phénomène est conséquente puisque le spam représente aujourd’hui entre 88 et 91%1 du volume total d’emails échangés [MAA11]. Les objectifs du spam sont divers et variés. Il sert notamment à propager2 des publicités (p.ex. pour des produits contrefaits, pharmaceutiques), des canulars (c.-à-d. des fausses alertes à la population, des chaînes de solidarité censées prodiguer chance et bonheur, etc.), des logiciels malveillants : virus, chevaux de troie, etc. (p.ex. pour utiliser les postes d’Internautes comme membres d’un botnet3 ), des scams (qui visent à soutirer de l’argent grâce au leurre d’une forte rétribution financière à venir), ou encore des attaques de phishing. Une attaque de phishing consiste à voler des informations confidentielles (p.ex. identifiant, mot de passe, numéro de carte bancaire, etc.) aux Internautes en usurpant l’identité de sites marchands et/ou bancaires. Pour ce faire, elle s’appuie sur deux maillons essentiels : la mise en ligne d’un site web contrefait qui usurpe l’identité d’un site légitime (p.ex. une banque, une plate-forme de jeux en ligne, etc.), et la mise en place d’une campagne de communication (typiquement basée sur du spam) afin d’attirer les Internautes.

Premier maillon : le site web contrefait

Techniquement, la mise en ligne du site contrefait s’appuie sur une page web d’accueil d’aspect (plus ou moins) ressemblant au site légitime. Meilleure sera la ressemblance et plus l’attaque sera efficace. Cette page web est accédée grâce à une URL également (plus ou moins) ressemblante à l’URL légitime. A nouveau, le degré de ressemblance de cette URL peut ajouter à l’efficacité de l’attaque. Il est toutefois indéniable que le rendu visuel global de la page sera plus décisif. Pour illustrer ces propos, considérons deux exemples qui ciblent le site Facebook : les figures 2.1 et 2.2 montrent une première illustration de sites légitime/contrefait, tandis que les figures 2.3 et 2.4 en montrent une deuxième. Le site contrefait développé dans le premier exemple est de prime abord, celui qui imite au mieux son pendant légitime. En effet, on ne détecte aucune erreur syntaxique, aucune modification de taille/type de polices de caractères, etc.). L’imitation apparaît parfaite. A contrario le deuxième exemple semble moins soigné, au sens visuel du terme. En effet, les zones 2 et 3 de la figure 2.4 démontrent des problèmes syntaxiques (c.-à-d. un manque de prise en charge des caractères spéciaux et accentués) ou des modifications de contenu (p.ex. on aperçoit que le site web contrefait est hébergé chez T35 Hosting, qui introduit des références publicitaires vers d’autres sites). En ce qui concerne les liens accessibles depuis la page contrefaite, les zones 2 du premier exemple conduisent vers le site légitime. A contrario, les zones 3 et 4 de ce même exemple contiennent des liens contrefaits (cf. figure 2.2). Dans le deuxième exemple, tous les liens des zones 2 et 4 redirigent vers le site légitime (cf. figure 2.4). Seuls les liens amenés par l’hébergeur de site (cf. zone 3 de la figure 2.4) redirigent ailleurs (p.ex. Free Domains conduit à http://www.domainsfree.org/, T35 redirige vers http://www.t35.com). Enfin, si on s’intéresse à l’URL visitée (Zone 1 sur les figures 2.2 et 2.4), on voit que le deuxième exemple est cette fois-ci plus performant que le premier. En effet, l’URL contrefaite s’approche davantage de l’URL originale, en introduisant le nom de domaine légitime (c.-à-d. Facebook). 

Second maillon : la campagne de communication

L’alliance d’un site web contrefait et d’une URL frauduleuse ne peut être suffisante pour attirer les victimes. En effet, les Internautes n’ont connaissance que de l’URL légitime. Il faut alors trouver un moyen de les amener à visiter l’URL frauduleuse. Pour ce faire, diverses techniques – exposées en section 2.3 – sont utilisables. Néanmoins l’une d’entre elles prédomine : la campagne de spam. Ces spams qui servent à véhiculer les attaques de phishing sont eux aussi plus ou moins soignés. Prenons trois exemples : – La figure 2.5 illustre un spam de haute qualité qui usurpe l’identité du site Paypal (https://www. paypal.com). Cet email ne comporte en effet que de minimes erreurs que bon nombre d’utilisateurs pourraient manquer. La majorité des indicateurs plaident en effet en faveur de la légitimité du site : le logo, l’émetteur affiché (c.-à-d. update@paypal.com), l’email destinataire qui apparaît valide, et l’URL frauduleuse utilisée qui – même si elle est masquée derrière l’élément Resolution Center – semblent faire référence au domaine légitime http://paypal-secure-login.com/acc/login. php. Seuls éléments d’alerte : un caractère en trop dans le titre du message (c.-à-d. le X après Paypal), ou l’URL de redirection qui utilise le protocole HTTP (et non HTTPS – pour HyperText Transfer Protocol Secure -). De plus, l’email destinataire n’est pas celui du destinataire réel (bien qu’appartenant au même domaine) et enfin, en examinant le contenu de l’en-tête SMTP (pour Simple Mail Transfer Protocol) de l’email, on constate que l’émetteur réel est akstcabilitamnsdgs@ abilita.com. – La figure 2.6 illustre quant à elle un spam de qualité intermédiaire qui usurpe le Crédit Mutuel (https://www.creditmutuel.fr/). Les éléments qui plaident en faveur de la réussite de l’attaque sont : le logo légitime, des mentions de Copyright, un email émetteur affiché qui semble légitime même au sein de l’en-tête SMTP (c.-à-d. service@creditmutuel.fr), l’email destinataire ciblé et correct (c.-à-d. cohérent avec la boîte de réception où il est délivré), le lien de redirection masqué (derrière l’élément Cliquez ici) et enfin, un caractère d’urgence (grâce à l’email envoyé en priorité haute, et la menace explicite de résiliation de la carte bancaire sous 6 jours). A contrario, si on y regarde de plus près, le contenu du message est impersonnel et truffé de fautes. De plus, le lien vers lequel le client est emmené est http://user33283.vs.easily.co.uk/credit/metuel/ confirmation/compte/suspenstion/carte/bancaire/reconfirmation/informations/persone lle/login.aspx/compte/, sans rapport aucun avec le domaine légitime même s’il tente d’y faire vaguement référence dans le début de l’arborescence. – Enfin, la figure 2.7 illustre un spam de phishing de basse qualité qui usurpe l’identité du site Paypal (https://www.paypal.com). En effet, l’email émetteur est imprécis et ne contient aucune référence au domaine légitime (c.-à-d. carte de crXdit [systeme@security.net]), l’email destinataire est impersonnel car masqué (undisclosed-recipients), le titre et le contenu du message sont truffés de fautes, ou encore l’URL de redirection est insuffisamment masquée : l’affichage indique en effet definitefraudstart »www.artifizbox.com »definitefraudendhttps://www.paypal.com/fr/cg i-bin/webscr?cmd=_login-submit pour une URL visitée http://www.artifizbox.com/www.payp al.fr/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updates-paypal/confirm_p aypal/. Seul élément qui pourrait plaider en faveur de l’attaque : la mention d’un numéro de référence Paypal PP-538-718-203. Pour terminer, notons également qu’un élément souvent utilisé par les attaques de phishing – afin d’accroître leur efficacité – est de limiter le temps de réflexion des Internautes. Pour ce faire, l’attaque introduit alors un caractère d’urgence avec lequel l’utilisateur doit réagir. Cette notion d’urgence peut aussi bien se trouver dans le spam (p.ex. dans la figure 2.6 où on voit la mention Note :Si ce n’est pas achever le 10 Avril 2011, nous serons contraints de suspendre votre carte indéfiniment, car elle peut être utilisée pour des raisons frauduleuses…) que dans le site web contrefait (p.ex. dans la figure 2.4 où on voit la mention Account Disabled : Your account will be disabled. If you do not immediately re-register).

Anatomie d’un site de phishing

Un site web est un ensemble de pages webs, accédées au travers des URLs qui leur sont attachées. Analyser les caractéristiques d’un site de phishing – tel que développé au travers de plusieurs travaux précédents [PKKG10] [GPCR07] [PD06] [AHDT10] – revient donc à étudier les spécificités des URLs et/ou l’aspect/contenu de la page web contrefaite associée. Précisons en effet qu’un site web de phishing se résume en général à l’utilisation d’une unique page1 contrefaite, qui conserve et fait appel à un maximum de redirections de liens du site légitime, typiquement pour l’accès à des informations complémentaires (p.ex. pour les pages d’aide). 2.2.1 Zoom sur l’URL 2.2.1.1 Structure d’une URL Une URL est généralement composée des éléments suivants (cf. figure 2.8) : 1. Le protocole utilisé (p.ex. http pour une page web classique, https pour une page web de login, ftp pour un serveur de téléchargement, etc.), suivi des caractères :// qui précèdent la désignation de l’emplacement de stockage de la ressource demandée. 2. Un nom d’hôte complet, appelé FQDN (pour Fully Qualified Domain Name) qui précise le nom de la machine qui héberge la ressource demandée. Ce FQDN est lui-même traditionnellement composé de 3 éléments : un nom d’hôte (p.ex. www pour un serveur web), un nom de domaine (p.ex. yahoo) et un TLD – pour Top-Level Domain – (p.ex. fr) qui est utilisé pour structurer/hiérarchiser la gestion des noms de domaines. Ce TLD est généralement représentatif d’une localisation géographique ou d’un type de site web (p.ex. EU pour Europe, .FR pour France, .COM pour des sites commerciaux, etc.). De plus amples détails sur la gestion des TLDs et des domaines sont disponibles en section 4.1.1. 3. Le chemin d’accès au sein de l’hôte spécifié, c.-à-d. l’arborescence de répertoires utilisés pour le stockage de la ressource, séparés par des /. 4. Le nom du fichier qui contient la ressource. 

Caractéristiques d’une URL de phishing

Plusieurs travaux précédents [PKKG10] [ZHC07] [GPCR07] [PD06] [CG06] [MG08] et notre étude approfondie des URLs de phishing font ressortir l’éventail des techniques utilisées par les attaquants afin de leurrer les utilisateurs. On peut notamment citer : – La substitution du FQDN par une adresse IP : Certaines URLs de phishing utilisent une adresse IP en lieu et place d’un FQDN, ceci afin que le changement de FQDN – sans rapport aucun avec celui du site légitime – apparaisse moins visible. Par exemple, l’URL http://74.220.215.65 est utilisée comme alternative au site contrefait http://volleyballplayerz.com/ qui usurpe l’identité de la banque Natwest http://www.natwest.com/. – La déformation du domaine/FQDN légitime : Il est très fréquent de rencontrer des URLs de phishing dont le FQDN est construit à partir d’une version déformée du nom de domaine ou FQDN (p.ex. via l’ajout, la modification ou le remplacement d’un – ou quelques – caractère(s)). Par exemple, l’URL de phishing http://www.bhttle.net/ usurpe l’URL légitime http://www.battle. net, et l’URL contrefaite http://faseboo.altervista.org/ usurpe l’URL légitime http://www. facebook.com. – L’utilisation de FQDNs/URLs longs : Il est très fréquent de trouver des URLs de phishing constituées de FQDNs et/ou URLs à rallonge (p.ex. via l’utilisation de nombreux points (.)). Les URLs contrefaites http://www.tsv1899benningen-ringen.de/chronik/update/alert/ibclogon.php et http://paypal.com.cg.ibin.webscr.cmd.login-submit.dispatch.5885d80a13c0db1f8e263 663d3faee8d35d0e363192f28ea2.dgrrokpozefr.com/ en sont des exemples. – L’utilisation d’URLs très courtes : A contrario du cas précédent, il est possible de rencontrer parfois des URLs très courtes. Pour ce faire, les attaquants ont recours à des services webs tels que celui de TinyURL [tin] qui crée des alias minimalistes redirigeant vers des URLs beaucoup plus longues. Par exemple, l’URL http://www.amazon.com/Kindle-Wireless-Reading-Display-Globally/dp /B003FSUDM4/ref=amb_link_353259562_2?pf_rd_m=ATVPDKIKX0DER&pf_rd_s=center-10&pf_rd _r=11EYKTN682A79T370AM3&pf_rdt=201&pf_rd_p=1270985982&pf_rd_i=B002Y27P3M qui se compose de 224 caractères peut être ramenée à l’URL http://tinyurl.com/2enearw de 26 caractères. Cette technique peut être utilisée afin de leurrer les moteurs de détection qui analysent les URLs à la recherche de comportements anormaux (c.-à-d. typiquement des tests heuristiques)

Cours gratuitTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *