Le phishing devient pharming

 
“Pharming” :

les phishers évoluent et deviennent indétectables
Le phishing étant une pratique de plus en plus connue, les escrocs ont élaboré un type d'attaque plus furtif et tout aussi efficace : le pharming. Découvrez comment vous pourriez être victime du "pharming" et comment vous en protéger.

Nous connaissons tous le phishing : "Par le biais du courrier électronique, de messages instantanés ou de bannières publicitaires, le phishing consiste à diriger les internautes vers un site Web frauduleux sur lequel ils sont invités à saisir leur mot de passe et autres données confidentielles," explique Bill Rosenkrantz, gestionnaire produit des solutions de sécurité Internet de Symantec. Mais après plusieurs années d'une croissance qui semblait ne vouloir jamais s'arrêter, les experts ont remarqué que les attaques de phishing avaient tendance à diminuer. "Les internautes ont appris à résister aux attaques de phishing", déclare M. Rosenkrantz. Bien sûr, les pirates et arnaqueurs ne sont pas décidés à abandonner leurs sources de revenus si facilement. Ils ont élaboré un nouveau type d'attaque, bien plus difficile à détecter que le phishing : le pharming. "Le pharming peut diriger automatiquement les internautes vers un site Web frauduleux qu'ils pensent être un site bancaire ou commercial légitime" , confirme Bill Rosenkrantz. Le pharming, selon lui, "peut être indétectable. Ce n'est pas encore une pratique très courante, mais le phénomène s'amplifie."


Qu'est-ce que le pharming ?

A son niveau le plus simple, une attaque de pharming consiste essentiellement à manipuler les adresses de sites Web, pour diriger les internautes vers un site Web frauduleux sans qu'ils s'en aperçoivent. La manipulation est d'autant plus perverse que l'internaute pense être sur le site souhaité.



Le pharming fonctionne de trois façons différentes :

1) Empoisonnement du DNS sur une machine locale

Un logiciel pour serveur de noms de domaine (DNS) convertit le nom de domaine saisi en une adresse de site Web valide existant sur le réseau (son adresse IP) - par exemple, www.votrebanque.comest convertie en 146.04.04.04. Cette conversion s'opérant sur le réseau, cela peut nécessiter un certain laps de temps. Avant d'accélérer le processus, votre PC conserve généralement sa propre copie des résultats DNS obtenus pour les sites que vous avez précédemment visités. On appelle cela le "cache du DNS". En consultant d'abord le cache avant d'envoyer une requête au réseau, votre PC vous permet de gagner du temps et d'éviter d'encombrer le réseau Internet de requêtes inutiles.

Mais un cache DNS local peut également faire l'objet de fraudes. Les voleurs d'identité, à l'aide de chevaux de Troie, peuvent modifier votre cache de sorte que, lorsque vous saisissez l'adresse de votre banque en ligne, vous êtes dirigé vers un site frauduleux ayant exactement la même apparence que l'original. Vous divulguez alors sans le savoir votre identité au moment de la connexion. Votre PC n'a aucun moyen de savoir si une adresse est en cache parce que vous avez visité le site précédemment, ou parce qu'un programme malveillant l'a écrit. Dans les deux cas, votre PC trouvera une entrée pour votre banque en ligne et lui fera entièrement confiance.

Les chevaux de Troie utilisés par ces attaques peuvent se transmettre par pièces jointes ou par liens de page Web. Le méthode la plus utilisée consiste à écrire ces programmes au moment du téléchargement par les utilisateurs de fichiers gratuits, tels que des économiseurs d'écran, des jeux ou des programmes pornographiques offrant un accès "gratuit" à du contenu douteux. Une protection antivirus efficace intégrant les dernières mises à jour empêche les chevaux de Troie de s'introduire sur votre PC. Si ce type de virus s'installe sur une machine non protégée, l'utilisateur ne se rendra probablement pas compte de sa présence.



2) Le Cross-site scripting

L'empoisonnement DNS d'une machine locale est la forme la plus courante de pharming, mais les pirates tentent également d'entrer dans le code de sites Web légitimes dans le but d'insérer un script qui manipulera alors les visiteurs du site. Cela peut être aussi simple que l'insertion d'un lien sur un site valide, permettant de diriger les internautes vers un site frauduleux. Cela peut également consister en l'affichage d'une fausse fenêtre de navigateur par-dessus celle du site légitime (pop-over). Cette fenêtre frauduleuse vous demande alors de vous identifier, prétextant la nécessité d'une connexion, évoquant un problème de compte utilisateur ou se présentant comme une fenêtre d'enquête émanant du site légitime.

Les pirates peuvent également insérer un script malveillant afin d'exploiter une faille du navigateur et ainsi infecter les PC des internautes lorsqu'ils sont sur le site. Plusieurs sites Web importants ont déjà été victimes de telles pratiques au cours des dernières années. La possibilité de prendre au piège un grand nombre d'utilisateurs par le biais d'une seule attaque rend cette tactique attrayante. La difficulté de pénétrer à l'intérieur de sites Web hautement sécurisés rend néanmoins la pratique relativement rare.


3) Empoisonnement du DNS basé sur serveur

De la même manière que votre PC mémorise les requêtes DNS, le serveur de votre fournisseur d'accès à Internet (FAI) stocke également des données en cache pour les conversions DNS les plus courantes. Pour un FAI, le cache est plus qu'une commodité : c'est une façon de fonctionner. Lorsque les abonnés d'un FAI majeur souhaitent accéder en même temps au même site d'informations après un événement sportif important, le serveur DNS peut gagner beaucoup de temps en connaissant à l'avance la réponse à leur requête. Ces derniers mois, les voleurs d'informations ont tenté "d'empoisonner" ces caches, de sorte que les utilisateurs saisissant une adresse URL valide soient dirigés vers un site non légitime ayant la même apparence que le véritable site. Ces sites peuvent demander à l'utilisateur de se connecter et de s'identifier. Ils peuvent également installer sur le PC de l'internaute un logiciel de vol d'identité ou des virus de type chevaux de Troie.

Les serveurs de votre FAI sont hautement sécurisés, et l'empoisonnement du DNS à ce niveau est le type de pharming le plus difficile à réaliser et donc le moins répandu. Néanmoins, il représente pour les pharmers la meilleure façon de récupérer un maximum d'identités en une seule attaque. C'est une menace sur laquelle les fournisseurs d'accès à Internet et le secteur de la sécurité réseau continuent de se concentrer. Du fait que le serveur DNS d'un FAI bénéficie d'une bonne protection, les pirates ont déjà commencé à s'attaquer à des serveurs DNS plus petits et moins protégés appartenant à des entreprises. Au cours des dernières années, plusieurs entreprises ont vu leur serveur DNS piraté et empoisonné. Ces attaques n'étaient pas très sophistiquées : quelle que soit l'adresse URL saisie, les internautes étaient dirigés vers un site Web faisant la publicité pour des médicaments très demandés. Si les pirates avaient fait preuve d'un peu plus de finesse, ces incidents auraient pu avoir des conséquences plus graves.

Une autre forme de manipulation du DNS, connue sous le nom de "Wild Card DNS Poisoning" (empoisonnement du DNS par caractère générique) utilise des techniques de phishing traditionnel pour inciter l'internaute à visiter un site Web dont l'URL paraît légitime. (Voir article ci-joint) Ce type d'escroquerie, contrairement au pharming, est facile à détecter et à éviter selon M. Rosenkrantz : "Il suffit de ne JAMAIS répondre à un courrier électronique ou un message instantané et de ne jamais cliquer sur une bannière publicitaire ou une fenêtre contextuelle lorsque vous visitez un site Web et/ou que vous devez vous identifier.

Rester sur ses gardes et se protéger
"Comme toutes les formes de vol d'identité potentiel, déclare M. Rosenkrantz, la chose la plus importante à faire est de prendre des précautions et de vérifier chaque mois votre relevé de compte bancaire afin d'identifier les éventuelles transactions suspectes. Dans la plupart des cas, vous serez intégralement remboursé de toute perte éventuelle si vous en faites état rapidement."

M. Rosenkrantz recommande de prendre les précautions suivantes pour vous protéger contre le pharming :

Vérifiez l'URL ou tout site vous demandant de vous identifier. Assurez-vous que votre session s'ouvre sur la véritable page du site, sans aucun caractère supplémentaire ajouté à la fin de l'adresse.
Munissez-vous d'une protection antivirus efficace intégrant les dernières mises à jour. (Cliquez ici pour savoir si votre protection est à jour)
Choisissez un fournisseur d'accès à Internet reconnu et légitime. Une sécurité maximale au niveau de votre FAI constitue la première ligne de défense contre le pharming.
Vérifiez le certificat. Cela prend seulement quelques secondes de s'assurer que le site Web que vous visitez est légitime. Dans la dernière version d'Internet Explorer et dans la plupart des navigateurs Web disponibles, cliquez sur "Fichier" dans le menu principal et sélectionnez "Propriétés", ou cliquez avec le bouton droit de la souris sur l'écran du navigateur et, dans le menu contextuel, cliquez sur "Propriétés". Lorsque la fenêtre "Propriétés" s'ouvre, cliquez sur "Certificats" et vérifiez que le site dispose d'un certificat de sécurité légitime et que celui-ci est toujours valide.
Si vous avez besoin d'accéder à un site Web au contenu sensible, ne cliquez jamais directement sur un lien contenu dans un message électronique ou une page Web. Copiez/collez systématiquement le texte de ce lien dans une nouvelle fenêtre de navigateur ou utilisez vos favoris.


Source : News letter de Club Symantec