L'évolution du phishing : des techniques plus sophistiquées

L'époque où une page de phishing était une page unique conçue pour capturer les informations d'identification de l'utilisateur est révolue. Les kits de phishing sont devenus sophistiqués et avancés pour échapper à la détection et sembler plus légitimes à l'utilisateur. Cet article aborde certaines des dernières techniques d'évitement et d'anti-analyse utilisées par ces kits de phishing.

Il s’agit de techniques pour rendre les pages de phishing plus légitimes ou bien de techniques d'évasion et anti-analyse afin de complexifier la tâche des services anti-phishing.

1. Vérification du numéro de la carte de paiement avant d'accepter

De nombreuses campagnes de phishing liées aux opérations bancaires, aux achats en ligne ou aux mises à niveau de comptes demandent aux victimes de fournir des informations de paiement pour effectuer leurs transactions en ligne. Dans ce cas, la plupart des campagnes de phishing vérifient simplement la longueur du numéro de carte fourni par la victime et le limitent à 16 chiffres pour empêcher la saisie de détails aléatoires. Dans certains cas, les attaquants vont encore plus loin en utilisant des services de vérification en ligne pour s'assurer que la victime entre les informations de paiement correctes.

2.Modification de la langue du contenu de phishing en fonction de la géolocalisation de la victime

La plupart des campagnes de phishing sont conçues dans une langue en fonction des victimes probables de l'attaque. Ces pages de phishing ne fonctionnent que dans une région ou un pays en fonction de la langue dans laquelle elles ont été conçues. "Comme les sites Web légitimes souvent "localisés", il existe quelques campagnes de phishing qui, au lieu d'utiliser une seule langue, diffusent un contenu de phishing basé sur l'emplacement géographique de la victime, déterminé après vérification de son adresse IP" précise Stéphane Manhes, créateur d'Altospam, un logiciel qui proposent des fonctions anti-phishing.

3. Accès unique à la page de phishing

Nous avons vu des cas où les pages d'hameçonnage ne sont accessibles qu'une seule fois. Lors de la prochaine visite de la page, il redirige l'utilisateur vers d'autres sites Web.

Lorsqu'un client visite des pages de phishing, telles que celle décrite ci-dessus, l'adresse IP du client est enregistrée dans un fichier lors de la première visite. Chaque fois qu'un client visite de telles pages de phishing, son adresse IP est vérifiée par rapport à la liste des adresses IP des clients précédemment visités. Sur la base des résultats de cette vérification, l'accès à la page de phishing est autorisé, il en résulte un message "Page introuvable" ou le client peut être redirigé vers d'autres sites Web.

4. Vérification du proxy à l'aide de services en ligne

Récemment, de nombreux kits de phishing ont inclus une liste codée en dur des adresses IP, des agents utilisateurs et des noms d’hôte figurant sur la liste noire, connus des utilisateurs de systèmes de sécurité et des sociétés de sécurité. Si le client tente de se connecter avec une adresse IP ou un agent utilisateur sur la liste noire, le contenu de phishing ne sera pas servi. Dans certains cas, en même temps que la liste des adresses IP codées en dur, l’IP du client est vérifié en utilisant certains services en ligne pour voir s’il s’agit ou non d’un proxy.

5.Créer un nouveau répertoire, des fichiers ou des attributs HTML au hasard à chaque visite

Pour rendre plus difficile la détection des campagnes de phishing, certaines campagnes créent à chaque fois un nouveau répertoire de noms aléatoires et la page de phishing est hébergée sur ce répertoire aléatoire. Il a été constaté que quelques kits de phishing créaient un nouveau fichier de nom aléatoire à chaque visite, ce qui le rendait difficile à identifier comme site de phishing. Pour rendre une page de phishing difficile à analyser et à détecter, les valeurs de page des attributs HTML sont générées aléatoirement à chaque visite.

Afin d’éviter tout risque d’hameçonnage par un phishing, il convient de protéger son entreprise à deux niveaux : la sécurisation de la messagerie électronique et l’accès à Internet. Le premier peut se faire avec les nombreux services de sécurisation disponibles sur le marché. Pour ne citer qu'un service anti-spam, prenons Altospam, un français (oc édité par une société française (Cocorico !), équipé de filtre anti-phishing ou anti-spearphishing. La seconde se fera à l’aide d’un simple proxy correctement configuré.

A qui appartient réellement ce site douteux ?

Rentrer le nom de domaine suspect sans les "www"

Exemple: raphaelrichard.net