hameçonnage

Hameçonnage sans frontières, ou pourquoi vous devez mettre à jour votre routeur

Les cybercriminels piratent les routeurs pour obtenir les identifiants des per-sonnes qui utilisent les services bancaires en ligne ou tout autre service.

Marina Mash
30 Avr 2019

Quelle est la menace informatique la plus courante de nos jours ? Encore et toujours l’hameçonnage ; il n’y a rien de nouveau sous le soleil. Les méthodes actuelles d’hameçonnage utilisent votre routeur et n’ont pas besoin de vous tromper à l’aide d’un e-mail. Vous pouvez suivre une multitude de règles standards (évitez les connexions Wi-Fi publiques, passez votre souris sur le lien avant de cliquer, etc.) mais elles ne vont pas vous être utiles dans cette situation. Analysons de plus près ces techniques d’hameçonnage qui se servent de routeurs piratés.

Comment les routeurs sont piratés

Il existe deux méthodes généralement utilisées pour pirater un routeur. La première approche consiste à tirer profit des identifiants par défaut. Il s’avère que chaque routeur a un mot de passe administrateur. Ce n’est pas celui que vous utilisez pour vous connecter en Wi-Fi, mais bien celui dont vous vous servez pour accéder au panneau administrateur du routeur et modifier les paramètres.

Même si les utilisateurs peuvent modifier le mot de passe, la plupart d’entre eux le laissent tel quel. Lorsque nous gardons le mot de passe par défaut choisi par le fabricant du routeur, les intrus peuvent le deviner, voire le chercher sur Google.

La seconde technique consiste à exploiter une vulnérabilité du micrologiciel du routeur, et il y en a plusieurs, pour que le pirate informatique puisse prendre le contrôle du routeur sans avoir besoin du mot de passe.

Dans tous les cas, les criminels peuvent agir à distance, de façon automatique, et à grande échelle. Les routeurs piratés apportent de nombreux avantages, mais nous allons nous concentrer sur une technique d’hameçonnage particulièrement difficile à détecter.

Exploitation des routeurs piratés pour faire de l’hameçonnage

Les cybercriminels modifient les paramètres de votre routeur après en avoir pris le contrôle. Il s’agit d’une minuscule modification qui passe inaperçue : ils changent les adresses des serveurs DNS que le routeur utilise pour résoudre les noms de domaine. Qu’est-ce que cela signifie ? Pourquoi est-ce si dangereux ?

Une chose est sûre, le DNS (système de noms de domaine) est le pilier d’Internet. Lorsque vous saisissez l’adresse d’un site Internet dans la barre d’adresse de votre navigateur, ce dernier ne sait pas comment la trouver puisque les navigateurs et les serveurs Web utilisent des adresses IP numériques, et non les noms de domaine que les humains ont l’habitude de voir. Par conséquent, la procédure permettant d’arriver à un site Internet ressemble à cela :

Le navigateur envoie une requête au serveur DNS.
Le serveur DNS traduit l’adresse du site Internet saisie sous une forme lisible par l’Homme en une adresse IP numérique, et la communique au navigateur.
Le navigateur sait désormais où trouver le site Internet et charge la page pour vous.

Tout se passe en coulisses et très rapidement. Lorsque votre routeur est piraté, et que les adresses de votre serveur DNS sont modifiées, toutes vos requêtes sont redirigées vers un serveur DNS malveillant que les pirates informatiques contrôlent. Au lieu d’envoyer l’adresse IP du site Internet que vous voulez consulter, le serveur malveillant communique une fausse adresse IP. En d’autres termes, les malfaiteurs trompent votre navigateur, pas vous, en chargeant une page d’hameçonnage au lieu de celle du site Internet que vous recherchez. L’aspect le plus effrayant est que vous, et votre navigateur, pensez que la page est honnête !

Cas brésilien : une campagne d’hameçonnage avec des routeurs piratés

Lors de la vague la plus récente de ce genre d’attaques, les cybercriminels ont profité des failles de sécurité des routeurs D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech et TOTOLINK. Les pirates informatiques ont mis en danger les dispositifs et ont modifié les paramètres du DNS. À chaque fois que les propriétaires des routeurs piratés essaient d’accéder à leurs comptes de services bancaires en ligne, ou aux sites Internet de leurs fournisseurs de services, le serveur DNS malveillant, que les cybercriminels contrôlent, les redirige discrètement vers des pages d’hameçonnage conçues pour voler leurs identifiants.

Les cybercriminels se sont servis de cette campagne pour s’en prendre aux utilisateurs brésiliens. Ils ont créé de faux sites qui imitent à la perfection les vrais sites Internet d’institutions financières et banques brésiliennes, d’hébergement Web, et de fournisseurs de services informatiques hébergés dans le Cloud au Brésil.

Les pirates informatiques ont aussi pris pour cibles les utilisateurs de certains services Internet internationaux comme PayPal, Netflix, Uber et Gmail.

Se protéger de l’hameçonnage qui utilise votre routeur

Comme nous l’avons dit antérieurement, il est particulièrement difficile de détecter ce genre d’hameçonnage. Il y a tout de même un peu d’espoir. Voici quelques conseils :

Connectez-vous à l’interface Web de votre routeur, modifiez les mots de passe par défaut, et désactivez l’administration à distance ainsi que d’autres paramètres dangereux.
Assurez-vous que le micrologiciel de votre routeur est à jour. Les mises à jour corrigent généralement les vulnérabilités. Elles s’installent parfois automatiquement sur certains modèles, mais elles doivent être installées manuellement sur d’autres. Cherchez sur Internet toute information relative au modèle du routeur de votre fabricant pour savoir si votre routeur est à jour.
Même lorsque vous accédez à un site Internet que vous connaissez bien, faites particulièrement attention aux détails inhabituels et aux fenêtres pop-up inattendues. Essayez de cliquer sur toutes les sections du site. Même lorsque le design d’une page d’hameçonnage semble très professionnel, les malfaiteurs ne peuvent pas reproduire à la perfection l’intégralité du site.
Avant de saisir vos identifiants, ou n’importe quelles données sensibles, soyez certain que les connexions sont sécurisées (vérifiez que l’URL commence par « https:// ») et analysez toujours le nom du certificat pour voir qu’il correspond au nom de l’entité. Pour ce faire, cliquez sur le cadenas qui apparaît dans la barre d’adresse du navigateur :

Sous Internet Explorer et Edge, vous allez immédiatement voir les informations relatives au certificat dont vous avez besoin.
Pour Mozilla, vous devez cliquer sur Connexion.
Quant à Chrome, vous devez cliquer sur le cadenas puis Certificat, Général, et vérifiez la ligne Valide du… au.

[KIS-cyberattacks-banner]

Fuite du code source du malware Carbanak : que va-t-il se passer ?

Le code source du malware tristement célèbre qui a coûté des milliards de dollars a été détecté sur VirusTotal. Voici les informations que nous avons et ce qu’il risque de se passer.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Hameçonnage sans frontières, ou pourquoi vous devez mettre à jour votre routeur

Comment les routeurs sont piratés

Exploitation des routeurs piratés pour faire de l’hameçonnage

Cas brésilien : une campagne d’hameçonnage avec des routeurs piratés

Se protéger de l’hameçonnage qui utilise votre routeur

Des domaines qui ressemblent à ceux de sites authentiques et comment les détecter

Des arnaques utilisent l’organisation de vos vacances d’été

Fuite du code source du malware Carbanak : que va-t-il se passer ?

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky