Mar
19
Classé sous:
DIVERS
Hameçonnage : les pirates à l´assaut de votre mot de passe
19 mars 2010
Si le vol d´informations n´est pas une nouveauté dans le monde de l´entreprise, l´informatique a vue l´émergence de nouvelles méthodes d´hameçonnages électroniques.
Connues sous le terme générique anglais de Phishing, les techniques pirates ne cessent d´évoluer. Comment fonctionne cette forme de détournement ? Que font les pirates de vos données ? Comment se protéger ?
Les PME, cœur de cible des e.escrocs
Marc D. est un entrepreneur de 53 ans. Son entreprise, une PME d'une quinzaine d'employées, est basée dans la ville de Loos, une petite commune aux frontières de la métropole Lilloise. Marc D. et son équipe utilisent l'informatique comme un outil de production. Comptabilité, devis, factures, quelques courriels et navigations sur le web pour visiter les sites de fournisseurs. Seulement, en ce mois de juin 2009, Marc D. a découvert une autre facette de l'Internet. Un pirate va réussir à soutirer plus 2.000 euros, en quelques clics de souris, à la PME. La méthode employée par le cyber-escroc est simple. Un courrier électronique aux couleurs d'une banque ; un message provocateur et insistant sur une action urgente et rapide à effectuer son le compte en banque de l'entreprise ; et un lien, une domiciliation Internet (URL) qui avait l'allure d'une adresse officielle. Seulement, derrière cette redirection informatique, un site usurpateur, reprenant les couleurs, les visuels, la typographie de la banque de Marc D. La secrétaire, pensant bien faire, va répondre à la missive piégée. Il ne faudra pas plus de trois minutes au pirate pour orchestrer une transaction frauduleuse et revendre les données bancaires sur plusieurs forums secrets appartenant à des pirates russes.
L'hameçonnage, sport pirate à la mode
Banques, Caisse des Allocations Familiales (CAF), Fournisseurs d'accès à Internet (FAI), Webmail (Voila, Hotmail, ...) sont devenus les cibles prioritaires des pirates. Si les méthodes utilisées pour piéger les internautes changent peu (Un faux courrier et une fausse page d'identification), les motivations des pirates ne sont pas toujours pécuniaires, du moins dans un premier temps. Prenons le cas d'actions malveillantes à l'encontre des comptes de courriers électroniques appartenant à des employés. Au premier abord, rien de "sensible", surtout si le pirate ne souhaite pas s'attaquer frontalement (piratage, ...) à la société ciblée. Sauf que les pirates savent pertinemment qu'avoir les identifiants de connexion à un accès Hotmail, Voila, Yahoo, gMail, Blackberry, ... d'un salarié pourra se transformer, tôt ou tard, en une manne providentielle d'informations. Le patron du portail communautaire Twitter, Evan Williams, a été une victime très médiatique de ce type d'attaque en mai 2009. Un pirate, en deux clics de souris, avaient eu accès à ses courriels. Courriers qui avaient donné, par la suite, la possibilité au "hackeur" de mettre la main sur les comptes en banque, gestion du site, des codes alarmes des locaux de Twitter et autres finesses internes du portail de microblogging.
Comment se protéger ?
Si les logiciels de sécurité informatique sont légions, ils ne sont pas pour autant des cerbères d'une efficacité redoutable. Si le cas de Marc D. aurait pu être évité grâce à un programme "anti-hameçonnage", faut-il encore que les attaques soient répertoriées par les éditeurs de ces outils ou pas les entités en charge de ce type de lutte comme Phishbank.
De nombreux cas se révèlent être non identifiés et non identifiables pour la simple et bonne raison que les pirates cibles de plus en plus précisément leurs futures victimes. La meilleure des défenses, même si elle n'est pas infaillible, reste la formation du personnel. Une banque, un FAI, ... ne réclameront jamais la moindre information privée par courrier électronique. La diffusion d'un courriel, la constitution d'un formulaire électronique, ... ne peuvent se constituer sans l'aval de la hiérarchie. Il en dépend clairement de vos données.
Marc D. est un entrepreneur de 53 ans. Son entreprise, une PME d'une quinzaine d'employées, est basée dans la ville de Loos, une petite commune aux frontières de la métropole Lilloise. Marc D. et son équipe utilisent l'informatique comme un outil de production. Comptabilité, devis, factures, quelques courriels et navigations sur le web pour visiter les sites de fournisseurs. Seulement, en ce mois de juin 2009, Marc D. a découvert une autre facette de l'Internet. Un pirate va réussir à soutirer plus 2.000 euros, en quelques clics de souris, à la PME. La méthode employée par le cyber-escroc est simple. Un courrier électronique aux couleurs d'une banque ; un message provocateur et insistant sur une action urgente et rapide à effectuer son le compte en banque de l'entreprise ; et un lien, une domiciliation Internet (URL) qui avait l'allure d'une adresse officielle. Seulement, derrière cette redirection informatique, un site usurpateur, reprenant les couleurs, les visuels, la typographie de la banque de Marc D. La secrétaire, pensant bien faire, va répondre à la missive piégée. Il ne faudra pas plus de trois minutes au pirate pour orchestrer une transaction frauduleuse et revendre les données bancaires sur plusieurs forums secrets appartenant à des pirates russes.
L'hameçonnage, sport pirate à la mode
Banques, Caisse des Allocations Familiales (CAF), Fournisseurs d'accès à Internet (FAI), Webmail (Voila, Hotmail, ...) sont devenus les cibles prioritaires des pirates. Si les méthodes utilisées pour piéger les internautes changent peu (Un faux courrier et une fausse page d'identification), les motivations des pirates ne sont pas toujours pécuniaires, du moins dans un premier temps. Prenons le cas d'actions malveillantes à l'encontre des comptes de courriers électroniques appartenant à des employés. Au premier abord, rien de "sensible", surtout si le pirate ne souhaite pas s'attaquer frontalement (piratage, ...) à la société ciblée. Sauf que les pirates savent pertinemment qu'avoir les identifiants de connexion à un accès Hotmail, Voila, Yahoo, gMail, Blackberry, ... d'un salarié pourra se transformer, tôt ou tard, en une manne providentielle d'informations. Le patron du portail communautaire Twitter, Evan Williams, a été une victime très médiatique de ce type d'attaque en mai 2009. Un pirate, en deux clics de souris, avaient eu accès à ses courriels. Courriers qui avaient donné, par la suite, la possibilité au "hackeur" de mettre la main sur les comptes en banque, gestion du site, des codes alarmes des locaux de Twitter et autres finesses internes du portail de microblogging.
Comment se protéger ?
Si les logiciels de sécurité informatique sont légions, ils ne sont pas pour autant des cerbères d'une efficacité redoutable. Si le cas de Marc D. aurait pu être évité grâce à un programme "anti-hameçonnage", faut-il encore que les attaques soient répertoriées par les éditeurs de ces outils ou pas les entités en charge de ce type de lutte comme Phishbank.
De nombreux cas se révèlent être non identifiés et non identifiables pour la simple et bonne raison que les pirates cibles de plus en plus précisément leurs futures victimes. La meilleure des défenses, même si elle n'est pas infaillible, reste la formation du personnel. Une banque, un FAI, ... ne réclameront jamais la moindre information privée par courrier électronique. La diffusion d'un courriel, la constitution d'un formulaire électronique, ... ne peuvent se constituer sans l'aval de la hiérarchie. Il en dépend clairement de vos données.
Sources : ZATAZ.com
Copyright 2011. Proposé par Bitdefender