{"id":12185,"date":"2019-09-05T15:37:15","date_gmt":"2019-09-05T15:37:15","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12185"},"modified":"2019-11-22T08:47:32","modified_gmt":"2019-11-22T08:47:32","slug":"email-account-stealing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/email-account-stealing\/12185\/","title":{"rendered":"Comment les fraudeurs volent les comptes de courrier \u00e9lectronique ?"},"content":{"rendered":"

Le bon vieux mail n\u2019est pas l\u2019offre la plus sexy du monde num\u00e9rique, mais au milieu de toutes ces nouvelles applications et services, comme les messageries instantan\u00e9es, les r\u00e9seaux sociaux, il est en train de s\u2019imposer comme un outil essentiel de la vie moderne. La plupart d\u2019entre nous doit encore utiliser les mails, au moins pour pouvoir cr\u00e9er de nouveaux comptes sur ces services, applications et r\u00e9seaux sociaux.<\/p>\n

C\u2019est pr\u00e9cis\u00e9ment la raison pour laquelle les identifiants par mail sont tant convoit\u00e9s par les cybercriminels. Dans cet article, nous expliquerons comment certains escrocs utilisent l\u2019hame\u00e7onnage pour s\u2019en emparer.<\/p>\n

Lettres de hame\u00e7onnage : la tactique la plus courante de piratage d\u2019e-mail<\/strong><\/h2>\n

La grande majorit\u00e9 des lettres frauduleuses cr\u00e9\u00e9es pour voler les noms d\u2019utilisateur et les mots de passe des mails ressemblent \u00e0 des messages provenant des services que nous utilisons pour le courriel. Lorsqu\u2019ils ciblent les utilisateurs \u00e0 domicile, les escrocs imitent les services de messagerie Web populaires. Et lorsqu\u2019ils tentent de pirater des comptes d\u2019entreprise, ils se font passer pour votre service de messagerie professionnelle. Dans ce cas, l\u2019exp\u00e9diteur est simplement le serveur de messagerie.<\/p>\n

De plus en plus, les arnaqueurs imitent les services de courrier populaires. Ils essaient de rendre ces lettres aussi convaincantes que possible. Les moyens de persuasion sont standards : l\u2019adresse de l\u2019exp\u00e9diteur qui ressemble beaucoup \u00e0 l\u2019adresse r\u00e9elle, les logos, les en-t\u00eates et pieds de page, les liens vers les ressources officielles, une mise en page plausible, etc.<\/p>\n

\"Exemple

Lettre d\u2019hame\u00e7onnage mena\u00e7ant de supprimer le compte d\u2019un utilisateur<\/p><\/div>\n

\u00a0<\/p>\n

En ce qui concerne les comptes d\u2019entreprise, les escrocs envoient souvent des mails d\u2019hame\u00e7onnage d\u00e9guis\u00e9s en messages provenant de serveurs d\u2019entreprise ou de services de courriel publics \u00e0 des adresses partag\u00e9es (y compris celles utilis\u00e9es par les administrateurs), mais ces mails parviennent parfois dans les bo\u00eetes de r\u00e9ception des employ\u00e9s dont les adresses ont atterri dans des bases de donn\u00e9es ind\u00e9sirables.<\/p>\n

Les entreprises qui veulent \u00eatre prises au s\u00e9rieux, en particulier les grandes, maintiennent leurs propres serveurs de messagerie. Les identifiants et les mots de passe de ces comptes sont \u00e9galement attrayants pour les cybercriminels. Leurs messages sont souvent trahis par une apparence imparfaite (adresses d\u2019exp\u00e9diteurs provenant de services de messagerie Web gratuits, fautes d\u2019orthographe, etc.) mais les employ\u00e9s inexp\u00e9riment\u00e9s peuvent penser que de tels courriers sont vrais.<\/p>\n

\"Exemple

Dans cette lettre un fraudeur imite une alerte de d\u00e9passement du quota<\/p><\/div>\n

\u00a0<\/p>\n

En cas d\u2019attaques cibl\u00e9es contre une organisation sp\u00e9cifique, les arnaqueurs recueillent g\u00e9n\u00e9ralement autant d\u2019informations qu\u2019ils le peuvent \u00e0 l\u2019avance pour rendre leurs messages aussi convaincants que possible. Pour une touche de cr\u00e9dibilit\u00e9 et d\u2019unicit\u00e9, ils peuvent int\u00e9grer les adresses \u00e9lectroniques des victimes dans des hyperliens d\u2019hame\u00e7onnage, de sorte que lorsqu\u2019elles visitent la fausse page, l\u2019adresse est d\u00e9j\u00e0 pr\u00e9sente et seul le mot de passe de la messagerie doit encore \u00eatre saisi.<\/p>\n\n

Variantes de lettre d\u2019hame\u00e7onnage<\/h3>\n

Simple message avec une demande d\u2019information<\/strong><\/p>\n

Les arnaqueurs contactent simplement les utilisateurs au nom des services de messagerie sous divers pr\u00e9textes et leur demandent de leur envoyer des adresses \u00e9lectroniques, des mots de passe et autres informations. Les utilisateurs sont g\u00e9n\u00e9ralement invit\u00e9s \u00e0 r\u00e9pondre \u00e0 une adresse e-mail diff\u00e9rente de celle de l\u2019exp\u00e9diteur.<\/p>\n

Ce type de lettre d\u2019hame\u00e7onnage \u00e9tait assez populaire jusqu\u2019\u00e0 ce que les escrocs ma\u00eetrisent des m\u00e9thodes de vol de renseignements personnels plus efficaces.<\/p>\n

\"Exemple

Lettre d\u2019hame\u00e7onnage demandant textuellement des informations sur le compte, y compris le mot de passe. N\u2019envoyez jamais rien en r\u00e9ponse \u00e0 de telles demandes<\/p><\/div>\n

\u00a0<\/p>\n

Message avec un lien vers un site Internet d\u2019hame\u00e7onnage<\/strong><\/p>\n

Les messages d\u2019hame\u00e7onnage contenant des liens sont actuellement les plus courants. Les cybercriminels peuvent utiliser un nombre infini de liens pr\u00e9-cr\u00e9\u00e9s, les m\u00e9langer d\u2019une lettre \u00e0 l\u2019autre dans le m\u00eame envoi, cr\u00e9er des pages d\u2019hame\u00e7onnage qui ressemblent beaucoup \u00e0 des pages l\u00e9gitimes et automatiser la collecte et le traitement des donn\u00e9es vol\u00e9es.<\/p>\n

Mais ces liens trahissent clairement une escroquerie, en conduisant \u00e0 des domaines totalement sans rapport avec les organisations pr\u00e9sum\u00e9es ou en utilisant des noms de domaine mal orthographi\u00e9s pour ressembler aux vrais noms. C\u2019est pourquoi les intrus tentent de dissimuler les adresses auxquelles leurs liens m\u00e8nent. Ils le font en utilisant du texte ou des images sur lesquelles il est possible de cliquer et hyperli\u00e9es. De tels liens de texte peuvent inclure des phrases telles que \u00ab\u00a0Mettre \u00e0 jour votre bo\u00eete aux lettres\u00a0\u00bb. Dans d\u2019autres cas, la partie texte du lien indiquera l\u2019adresse r\u00e9elle du service de messagerie, tandis que le lien r\u00e9el dirigera l\u2019utilisateur vers une page Internet d\u2019hame\u00e7onnage. Beaucoup d\u2019utilisateurs ne verront pas la diff\u00e9rence, \u00e0 moins de v\u00e9rifier les liens avant de cliquer.<\/p>\n

\"Exemple

La plupart des lettres contiennent des liens d\u2019hame\u00e7onnage, \u00e9vitez de cliquer dessus<\/p><\/div>\n

\u00a0<\/p>\n

Hame\u00e7onnage dans les pi\u00e8ces jointes<\/strong><\/p>\n

Les lettres d\u2019hame\u00e7onnage peuvent contenir des pi\u00e8ces jointes, g\u00e9n\u00e9ralement des fichiers sous format HTML, PDF, ou DOC.<\/p>\n

Les pi\u00e8ces jointes aux formats DOC et PDF contiennent souvent le corps du message d\u2019hame\u00e7onnage et le lien d\u2019arnaque. Les attaquants optent pour cette tactique lorsqu\u2019ils cherchent \u00e0 rendre le texte de la lettre aussi court et aussi proche que possible de la page l\u00e9gitime imit\u00e9e pour contourner les filtres anti-spam.<\/p>\n

\"Exemple

Certaines lettres d\u2019hame\u00e7onnage sont envoy\u00e9es avec des PDF ou des documents DOC en pi\u00e8ces jointe avec un lien vers des sites d\u2019hame\u00e7onnage<\/p><\/div>\n

\u00a0<\/p>\n

Les fichiers HTML sont utilis\u00e9s \u00e0 la place<\/em> des liens. La pi\u00e8ce jointe HTML est en fait une page d\u2019hame\u00e7onnage toute pr\u00eate. Du point de vue des arnaqueurs, le fichier HTML joint pr\u00e9sente l\u2019avantage d\u2019\u00eatre enti\u00e8rement fonctionnel, il n\u2019y a pas besoin de le poster sur Internet, et il poss\u00e8de tous les \u00e9l\u00e9ments dont ils ont besoin pour l\u2019arnaque.<\/p>\n

\"Exemple

Le formulaire de saisie de l\u2019identifiant et du mot de passe est contenu dans la lettre d\u2019hame\u00e7onnage elle-m\u00eame. Ne renseignez aucune information<\/p><\/div>\n

\u00a0<\/p>\n

Sujets des lettres d\u2019hame\u00e7onnage<\/h3>\n

Probl\u00e8mes de compte<\/strong><\/p>\n

En ce qui concerne le texte des lettres, la plupart commence par sugg\u00e9rer qu\u2019il y a un probl\u00e8me avec le compte de la victime : limite de stockage atteinte, probl\u00e8me de distribution des mails, connexion non autoris\u00e9e, accusations de spamming, alertes pour d\u2019autres violations, etc.<\/p>\n

Normalement, la lettre indique \u00e0 l\u2019utilisateur comment traiter le probl\u00e8me, principalement en confirmant ou en mettant \u00e0 jour les donn\u00e9es du compte en suivant un lien ou en ouvrant une pi\u00e8ce jointe. Pour effrayer le destinataire, il est indiqu\u00e9 que s\u2019il ne suit pas les instructions, le compte sera bloqu\u00e9 ou supprim\u00e9.<\/p>\n\n

Dans presque tous les cas, la lettre fixe un d\u00e9lai de r\u00e9ponse, allant de plusieurs heures \u00e0 plusieurs semaines. Habituellement, ce d\u00e9lai est de 24 heures, ce qui est \u00e0 la fois cr\u00e9dible et en m\u00eame temps pas assez pour permettre \u00e0 la victime de se d\u00e9tendre et d\u2019oublier la lettre.<\/p>\n

\"Exemple

\u00ab\u00a0Votre compte sera supprim\u00e9 dans 24 heures en raison de spamming.\u00a0\u00bb Les menaces et les d\u00e9lais imposes sont des astuces d\u2019hame\u00e7onnage typiques<\/p><\/div>\n

\u00a0<\/p>\n

Imitation de correspondance commerciale<\/strong><\/h4>\n

Parfois, les lettres d\u2019hame\u00e7onnage atypiques ciblent des comptes mail. Le texte de ces messages peut ne faire aucune r\u00e9f\u00e9rence \u00e0 des donn\u00e9es de mail ou de compte. La mail peut ressembler \u00e0 une vraie correspondance\u00a0commerciale.<\/p>\n

Mentionnons que le volume de fausses correspondances\u00a0commerciales utilis\u00e9es \u00e0 des fins d\u2019hame\u00e7onnage a augment\u00e9 au cours des derni\u00e8res ann\u00e9es. Les messages de ce type sont g\u00e9n\u00e9ralement utilis\u00e9s pour transmettre des pi\u00e8ces jointes nuisibles, mais certains d\u2019entre eux hame\u00e7onnent \u00e9galement des donn\u00e9es personnelles. Un utilisateur r\u00e9gulier peut avoir des difficult\u00e9s \u00e0 d\u00e9tecter une mail d\u2019hame\u00e7onnage et la cybercriminalit\u00e9 compte l\u00e0-dessus.<\/p>\n

\"Exemple

Lors de la recherche de comptes d\u2019entreprise, l\u2019utilisation de fausses correspondances commerciales est une tactique courante<\/p><\/div>\n

\u00a0<\/p>\n

Certains utilisateurs ne soup\u00e7onneront jamais la fraude et suivront le lien pour se connecter et visualiser un document inexistant.<\/p>\n

\"Exemple

Le site Internet d\u2019hame\u00e7onnage invite l\u2019utilisateur \u00e0 ouvrir une session pour consulter un document mentionn\u00e9 dans la lettre d\u2019hame\u00e7onnage<\/p><\/div>\n

\u00a0<\/p>\n

Variantes de pages d\u2019hame\u00e7onnage<\/h3>\n

Maintenant que nous en avons fini avec le format et le contenu des mails, voyons \u00e0 quoi peuvent ressembler les pages d\u2019hame\u00e7onnage sur Internet et parlons des \u00e9l\u00e9ments auxquels il faut faire attention afin de pouvoir d\u00e9tecter la fraude.<\/p>\n

La premi\u00e8re chose qui m\u00e9rite une attention particuli\u00e8re est l\u2019adresse du lien. L\u2019adresse peut trahir une arnaque instantan\u00e9ment. Les signes typiques de fraude sont les suivants :<\/p>\n