:: NORMAN :: Antivirus | Firewall

Accueil

Actualités

Produits & services

Virus & sécurité

Support

Téléchargement

Partenaire

Acheter

Choix du pays

Choix du produit

Virus & sécurité » Sécurité : Information » 2006 » « VISHING » - les nouvelles technologies redonnent vie aux vieilles activités criminelles

« VISHING » - les nouvelles technologies redonnent vie aux vieilles activités criminelles

Ajouter à mes favoris Norman

Informations sur la sécurité - Semaine 32, 2006

Security Information

Introduction

L’un des outils préférés des casseurs de code, lors des balbutiements des communications informatiques était le War-dialling. Le pirate utilise un programme chargé de passer (par le biais d’un modem) ses appels informatiques, en se basant sur des séquences de numéros de téléphones semi-aléatoires composés dans une même zone géographique. Si un modem répond, le pirate présume qu’un ordinateur se trouve derrière. La liste des réponses de modems (ordinateurs) peut ensuite servir de cible et permettre au pirate de mener à bien son objectif.

Comme l’emploi des modems s’est réduit, les analyses de port ont pris le dessus et permettent d’accomplir le même type de démarche. À partir d’un ordinateur, l’intrus analyse une plage d’adresses IP et recherche les ordinateurs dont un port spécifique est ouvert. Ceux qui répondent favorablement seront les cibles d’explorations ultérieures dont le but sera l’intrusion sur la machine et, éventuellement, une prise de contrôle. Ils seront ensuite utilisés pour les forfaits du pirate (spam, réseaux de robots, etc.).

Le phishing peut être défini, en général comme :

« une attaque, basée sur des techniques de manipulation des structures sociales, vous incitant à révéler des informations telles que les mots de passe et le numéros de cartes de crédit, dans le but de commettre une fraude ».

Des informations relatives au phishing sont disponibles sur notre site web, dans plusieurs articles, parmi lesquels le bulletin de sécurité de la semaine 15/2005.

Découvrez le Vishing - une combinaison des deux techniques mentionnées ci-dessus - basée sur Voix sur IP et le Phishing.

Fonctionnement du vishing

1. Emploi d’un ordinateur pour composer des séquences numériques (la partie « V »)

L’étape initiale consiste à paramétrer un ordinateur avec Voix sur IP (VoIP) pour appeler une grande quantité de numéros de téléphone dans un secteur donné.

Contrairement à la « bonne vieille » technique du war-dialling, la distance n’est pas un problème car le coût des télécommunications est sans objet. Comme nous le verrons dans le point 2, ci-dessous, la langue employée dans la zone appelée peut être essentielle pour la réussite du plan de vishing.

2. Lecture d’un message pré-enregistré (la partie « ishing »)

Il est probable que certains des numéros appelés vont répondre. La personne qui a mis le plan en action aura prévu un message pré-enregistré qui sera l’objet du phishing. Ce peut être, par exemple, un message émanant - soi-disant - du service des fraudes à la carte de crédit d’une banque et demandant de contacter un autre numéro afin de régler un problème.

Ce message doit être enregistré dans la langue parlée dans la région où se déroulera le vishing. Un message automatique enregistré, par exemple, en allemand et s’adressant à des français en prétendant être un employé de leur banque, ne sera pas vraisemblable et n’abusera que les plus crédules (qui sont cependant, une excellente cible)

3. récolte des informations « juteuses »

Woman in phone

Si l’escroquerie de l’étape 2, ci-dessus, est persuasive, certains de ceux qui ont répondu à l’appel automatique et écouté le message appelleront le numéro suggéré.

Dans cette étape, l’attaquant dispose de plusieurs options.

Il peut utiliser ses compétences dans le domaine de la manipulation et répondre personnellement au téléphone pour inciter son correspondant à lui révéler des informations personnelles, telles que son numéro de carte de crédit ainsi que le code de cette dernière, sa date de naissance, son adresse, et ainsi de suite.

Dans cette étape, le contact personnel est probablement la méthode qui a le plus de chances de succès. Toutefois, l’inconvénient est que le pirate ne peut parler qu’à une personne à la fois.

Il peut enregistrer un autre message dont la teneur semblera crédible et incitant le correspondant à donner des informations personnelles.

Par exemple, une base de données du département cartes de crédit d’une banque est tombée en panne, et des intrus en ont profité pour dérober certains numéros de cartes. Comme la base de données et les informations sur la clientèle ne sont plus disponibles, le message demande à l’appelant d’entrer son numéro de carte de crédit et son numéro de téléphone, lui précisant que la banque le rappellera pour lui indiquer si sa carte de crédit fait partie de celles dont le numéro a été détourné.

Seule l’imagination du pirate fixe les limites des techniques de persuasion qui peuvent être utilisées à ce stade. Le seul inconvénient est que le scénario doit être générique afin de pouvoir concerner et persuader autant d’appelants que possible.

4. Commettre la fraude et/ou obtenir d’autres informations

Le fruit de la récolte des informations résultant des trois étapes précédentes peut ensuite permettre au pirate de commettre la fraude proprement dite. Dans l’exemple mentionné ci-dessus, il s’agira d’une fraude à la carte de crédit, mais cela ne constitue pas une limite.

À ce stade, le pirate peut également employer les informations collectées pour obtenir d’autres informations et même - dans un cas extrême (mais rare) - endosser l’identité d’une autre personne.

Quelques observations générales

Dans le bulletin d’informations de sécurité de Norman de la semaine 10/2005 , nous avons abordé le fait que certaines applications nouvelles (dans ce cas, la messagerie instantanée) pouvaient servir à propager du code nocif. Nous affirmions que ce moyen était particulièrement efficace car la messagerie instantanée était un nouveau support et que les utilisateurs ne se sentaient pas aussi concernés qu’ils pouvaient l’être, par exemple, par la distribution de code nocif par le biais du courrier électronique.

Le vishing peut être envisagé de la même façon. Les organismes de sécurité, les sociétés financières et les médias mettent l’accent sur les dangers du phishing depuis un certain temps. L’attention du public a tout particulièrement été attirée sur les tentatives effectuées par courrier électronique. VoIP - employé comme canal de communication pour le phishing, aura, pendant un certain temps, un plus fort taux de réussite que les méthodes traditionnelles.

Il en sera probablement de même dès qu’un nouveau canal sera mis en service. Le conseil général applicable quels que soient le support et les techniques employés par les fraudeurs est :

Faire preuve d’un scepticisme intelligent lorsque l’on vous demande de révéler des informations personnelles.

ALERTES VIRALES

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Dernière mise á jour signatures

>>	2009-01-07

Informations sur la sécurité

>>	Summing up 2008 and predictions for 2009
>>	Noël – une période délectable ET redoutable

Conseils pour la sécurité

>>	Mise à jour non planifiée pour Microsoft Internet Explorer
>>	Six mises à jour critiques pour les systèmes Microsoft en décembre 2008

Norman est une des sociétés leader mondial dans le domaine de la sécurité informatique. Des produits tels que les antivirus, le firewall personnel, la solution anti spam en font un acteur important dans le monde informatique.