Comment les fraudeurs volent les comptes de courrier électronique ?

5 Sep 2019

Le bon vieux mail n’est pas l’offre la plus sexy du monde numérique, mais au milieu de toutes ces nouvelles applications et services, comme les messageries instantanées, les réseaux sociaux, il est en train de s’imposer comme un outil essentiel de la vie moderne. La plupart d’entre nous doit encore utiliser les mails, au moins pour pouvoir créer de nouveaux comptes sur ces services, applications et réseaux sociaux.

C’est précisément la raison pour laquelle les identifiants par mail sont tant convoités par les cybercriminels. Dans cet article, nous expliquerons comment certains escrocs utilisent l’hameçonnage pour s’en emparer.

En savoir plus sur les tactiques de piratage d'e-mail les plus courantes

Lettres de hameçonnage : la tactique la plus courante de piratage d’e-mail

La grande majorité des lettres frauduleuses créées pour voler les noms d’utilisateur et les mots de passe des mails ressemblent à des messages provenant des services que nous utilisons pour le courriel. Lorsqu’ils ciblent les utilisateurs à domicile, les escrocs imitent les services de messagerie Web populaires. Et lorsqu’ils tentent de pirater des comptes d’entreprise, ils se font passer pour votre service de messagerie professionnelle. Dans ce cas, l’expéditeur est simplement le serveur de messagerie.

De plus en plus, les arnaqueurs imitent les services de courrier populaires. Ils essaient de rendre ces lettres aussi convaincantes que possible. Les moyens de persuasion sont standards : l’adresse de l’expéditeur qui ressemble beaucoup à l’adresse réelle, les logos, les en-têtes et pieds de page, les liens vers les ressources officielles, une mise en page plausible, etc.

Exemple d'une lettre d'avertissement d'hameçonnage en cas de suppression imminente d'un compte

Lettre d’hameçonnage menaçant de supprimer le compte d’un utilisateur

 

En ce qui concerne les comptes d’entreprise, les escrocs envoient souvent des mails d’hameçonnage déguisés en messages provenant de serveurs d’entreprise ou de services de courriel publics à des adresses partagées (y compris celles utilisées par les administrateurs), mais ces mails parviennent parfois dans les boîtes de réception des employés dont les adresses ont atterri dans des bases de données indésirables.

Les entreprises qui veulent être prises au sérieux, en particulier les grandes, maintiennent leurs propres serveurs de messagerie. Les identifiants et les mots de passe de ces comptes sont également attrayants pour les cybercriminels. Leurs messages sont souvent trahis par une apparence imparfaite (adresses d’expéditeurs provenant de services de messagerie Web gratuits, fautes d’orthographe, etc.) mais les employés inexpérimentés peuvent penser que de tels courriers sont vrais.

Exemple d'avertissement d'une lettre d'hameçonnage en cas de dépassement du quota de stockage

Dans cette lettre un fraudeur imite une alerte de dépassement du quota

 

En cas d’attaques ciblées contre une organisation spécifique, les arnaqueurs recueillent généralement autant d’informations qu’ils le peuvent à l’avance pour rendre leurs messages aussi convaincants que possible. Pour une touche de crédibilité et d’unicité, ils peuvent intégrer les adresses électroniques des victimes dans des hyperliens d’hameçonnage, de sorte que lorsqu’elles visitent la fausse page, l’adresse est déjà présente et seul le mot de passe de la messagerie doit encore être saisi.

Variantes de lettre d’hameçonnage

Simple message avec une demande d’information

Les arnaqueurs contactent simplement les utilisateurs au nom des services de messagerie sous divers prétextes et leur demandent de leur envoyer des adresses électroniques, des mots de passe et autres informations. Les utilisateurs sont généralement invités à répondre à une adresse e-mail différente de celle de l’expéditeur.

Ce type de lettre d’hameçonnage était assez populaire jusqu’à ce que les escrocs maîtrisent des méthodes de vol de renseignements personnels plus efficaces.

Exemple d'une lettre d'hameçonnage demandant le mot de passe du compte de l'utilisateur

Lettre d’hameçonnage demandant textuellement des informations sur le compte, y compris le mot de passe. N’envoyez jamais rien en réponse à de telles demandes

 

Message avec un lien vers un site Internet d’hameçonnage

Les messages d’hameçonnage contenant des liens sont actuellement les plus courants. Les cybercriminels peuvent utiliser un nombre infini de liens pré-créés, les mélanger d’une lettre à l’autre dans le même envoi, créer des pages d’hameçonnage qui ressemblent beaucoup à des pages légitimes et automatiser la collecte et le traitement des données volées.

Mais ces liens trahissent clairement une escroquerie, en conduisant à des domaines totalement sans rapport avec les organisations présumées ou en utilisant des noms de domaine mal orthographiés pour ressembler aux vrais noms. C’est pourquoi les intrus tentent de dissimuler les adresses auxquelles leurs liens mènent. Ils le font en utilisant du texte ou des images sur lesquelles il est possible de cliquer et hyperliées. De tels liens de texte peuvent inclure des phrases telles que « Mettre à jour votre boîte aux lettres ». Dans d’autres cas, la partie texte du lien indiquera l’adresse réelle du service de messagerie, tandis que le lien réel dirigera l’utilisateur vers une page Internet d’hameçonnage. Beaucoup d’utilisateurs ne verront pas la différence, à moins de vérifier les liens avant de cliquer.

Exemple de lettre contenant un lien d'hameçonnage

La plupart des lettres contiennent des liens d’hameçonnage, évitez de cliquer dessus

 

Hameçonnage dans les pièces jointes

Les lettres d’hameçonnage peuvent contenir des pièces jointes, généralement des fichiers sous format HTML, PDF, ou DOC.

Les pièces jointes aux formats DOC et PDF contiennent souvent le corps du message d’hameçonnage et le lien d’arnaque. Les attaquants optent pour cette tactique lorsqu’ils cherchent à rendre le texte de la lettre aussi court et aussi proche que possible de la page légitime imitée pour contourner les filtres anti-spam.

Exemple de lettre d'hameçonnage avec un PDF en pièce jointe

Certaines lettres d’hameçonnage sont envoyées avec des PDF ou des documents DOC en pièces jointe avec un lien vers des sites d’hameçonnage

 

Les fichiers HTML sont utilisés à la place des liens. La pièce jointe HTML est en fait une page d’hameçonnage toute prête. Du point de vue des arnaqueurs, le fichier HTML joint présente l’avantage d’être entièrement fonctionnel, il n’y a pas besoin de le poster sur Internet, et il possède tous les éléments dont ils ont besoin pour l’arnaque.

Exemple de lettre d'hameçonnage contenant un document HTML en pièce jointe

Le formulaire de saisie de l’identifiant et du mot de passe est contenu dans la lettre d’hameçonnage elle-même. Ne renseignez aucune information

 

Sujets des lettres d’hameçonnage

Problèmes de compte

En ce qui concerne le texte des lettres, la plupart commence par suggérer qu’il y a un problème avec le compte de la victime : limite de stockage atteinte, problème de distribution des mails, connexion non autorisée, accusations de spamming, alertes pour d’autres violations, etc.

Normalement, la lettre indique à l’utilisateur comment traiter le problème, principalement en confirmant ou en mettant à jour les données du compte en suivant un lien ou en ouvrant une pièce jointe. Pour effrayer le destinataire, il est indiqué que s’il ne suit pas les instructions, le compte sera bloqué ou supprimé.

Dans presque tous les cas, la lettre fixe un délai de réponse, allant de plusieurs heures à plusieurs semaines. Habituellement, ce délai est de 24 heures, ce qui est à la fois crédible et en même temps pas assez pour permettre à la victime de se détendre et d’oublier la lettre.

Exemple de mail d'hameçonnage avec un délai pour répondre

« Votre compte sera supprimé dans 24 heures en raison de spamming. » Les menaces et les délais imposes sont des astuces d’hameçonnage typiques

 

Imitation de correspondance commerciale

Parfois, les lettres d’hameçonnage atypiques ciblent des comptes mail. Le texte de ces messages peut ne faire aucune référence à des données de mail ou de compte. La mail peut ressembler à une vraie correspondance commerciale.

Mentionnons que le volume de fausses correspondances commerciales utilisées à des fins d’hameçonnage a augmenté au cours des dernières années. Les messages de ce type sont généralement utilisés pour transmettre des pièces jointes nuisibles, mais certains d’entre eux hameçonnent également des données personnelles. Un utilisateur régulier peut avoir des difficultés à détecter une mail d’hameçonnage et la cybercriminalité compte là-dessus.

Exemple de lettre d'hameçonnage qui ressemble à de la correspondance commerciale

Lors de la recherche de comptes d’entreprise, l’utilisation de fausses correspondances commerciales est une tactique courante

 

Certains utilisateurs ne soupçonneront jamais la fraude et suivront le lien pour se connecter et visualiser un document inexistant.

Exemple d'un site Internet d'hameçonnage qui invite le visiteur à ouvrir une session pour consulter un document

Le site Internet d’hameçonnage invite l’utilisateur à ouvrir une session pour consulter un document mentionné dans la lettre d’hameçonnage

 

Variantes de pages d’hameçonnage

Maintenant que nous en avons fini avec le format et le contenu des mails, voyons à quoi peuvent ressembler les pages d’hameçonnage sur Internet et parlons des éléments auxquels il faut faire attention afin de pouvoir détecter la fraude.

La première chose qui mérite une attention particulière est l’adresse du lien. L’adresse peut trahir une arnaque instantanément. Les signes typiques de fraude sont les suivants :

  • domaines sans rapport avec les organisations d’envoi,
  • noms d’organisations ou des services Internet dans le chemin d’accès plutôt que dans le domaine, par exemple, www.example.com/outlook/,
  • fautes d’orthographe,
  • chaînes de symboles aléatoires dans l’adresse du lien,
  • symboles d’autres langues qui ressemblent à l’alphabet latin de base, comme ç au lieu de c, á au lieu de a et ainsi de suite.

Tout comme pour les mails, les fraudeurs essaient de créer de fausses pages Internet ressemblant autant que faire se peut aux vraies. Mais les détails sont toujours laissés de côté, bien que, malheureusement, tous les utilisateurs ne soient pas en mesure de les voir.

Cette partie est facile à comprendre : peu de gens se souviennent de l’apparence exacte de la page d’accueil officielle de leurs services en ligne. Ainsi, pour créer une page d’hameçonnage convaincante, il suffit souvent d’utiliser des éléments caractéristiques : gamme de couleurs, logo, etc.

Exemple d'une page d'accueil de connexion de messagerie sur un site Internet d'hameçonnage

Fausse page d’accueil de connexion d’une messagerie Internet

 

Pour les pages d’hameçonnage conçues pour voler les noms d’utilisateur et les mots de passe d’une messagerie gratuite sur Internet, il est courant de proposer des liens vers plusieurs autres services de messagerie sur une même page.

Dès que vous cliquez sur l’un d’entre eux, une fenêtre  qui ressemble à une page de connexion pour le service concerné s’ouvre. De cette façon, les fraudeurs peuvent recueillir des données de plusieurs types de comptes en utilisant une seule page, plutôt que de créer des pages distinctes pour chacun.

Exemple d'un site Internet universel d'hameçonnage avec un choix de comptes sur lesquels se connecter

Ce site d’hameçonnage simule l’ouverture d’une session à l’aide de différents comptes de messagerie

 

Les fraudeurs peuvent atteindre encore plus de potentielles victimes en utilisant des mails (sur n’importe quel sujet général, par exemple, l’option de correspondance commerciale mentionnée plus haut) qui renvoient à une page d’hameçonnage avec un choix de services de messagerie sur Internet populaires pour que les utilisateurs puissent choisir ceux dont ils ont besoin.

Exemple d'une page de connexion sur un site Internet d'hameçonnage

Un autre exemple d’une fausse page de connexion de messagerie

 

L’astuce de la limite de temps que nous avons mentionné lorsque nous avons abordés les mails d’hameçonnage est aussi parfois utilisé sur les pages d’hameçonnage. Dès qu’un utilisateur ouvre la page de l’arnaque, un compte à rebours visible se met en marche, indiquant le temps restant à l’utilisateur crédule qu’il lui reste pour entrer ses données.

Exemple d'une page d'hameçonnage avec une limite de temps

Certaines pages d’hameçonnage, aussi, invitent l’utilisateur à se dépêcher

 

Lorsqu’une victime soumet des données par le biais d’une page d’hameçonnage, les résultats varient. Certains sites Web deviennent inaccessibles ou renvoient des messages d’erreur. D’autres rapportent que l’utilisateur a entré des données incorrectes et leur demandent d’essayer à nouveau.

Le scénario le plus dangereux de tous est probablement en train de prendre de l’ampleur ces derniers temps. Dès que les données sont soumises, la page d’hameçonnage redirige l’utilisateur vers la vraie page de connexion du service de messagerie en question. L’utilisateur s’aperçoit qu’il y a eu un pépin, entre à nouveau son identifiant et son mot de passe, avec succès, et oublie tout ce qui s’est passé de bizarre.

Détection des lettres d’hameçonnage

  • Si le domaine d’adresse de l’expéditeur n’appartient pas à l’organisation de l’expéditeur présumée, et en particulier si la boîte aux lettres est enregistrée auprès de l’un des services de messagerie gratuits, la lettre est une arnaque. Les mails officiels proviennent toujours d’adresses officielles.
  • Si la lettre comporte des liens sur lesquels vous pouvez cliquer, des domaines non liés, des fautes d’orthographe, des caractères spéciaux, etc., il s’agit d’une fraude.
  • Si la lettre dit qu’il y a des problèmes inattendus avec votre compte et vous demande de suivre un lien puis de vous connecter avant la fin du temps imparti, cette lettre provient de fraudeurs.

Il est utile, mais pas forcément nécessaire, de se souvenir de toutes ces choses et d’examiner chaque lettre que vous recevez. Utilisez plutôt un produit antivirus robuste pour vous aider à gérer l’hameçonnage et les autres menaces en ligne