Phishing

Caractéristiques

• Le phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’addresse à un tiers de confiance – Banque, administration, etc. afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte national d’identité, date de naissance, etc.

Situations possibles

Copie exacte d’un site internet

Courrier électronique

SMS se faisant passer pour une structure authentique

Stratégie de réponse

1. Qualification

• Dès qu’une attaque de Phishing apparait, contacter la filière SSI de l’entreprise le plus rapidement possible. Une fois la filière SSI mise au courant, celle-ci doit contacter l’entreprise de support externe pour qu’elle fasse les démarches nécessaires pour stopper la campagne de Phishing. La décision d’agir contre le site web/mail frauduleux est à prendre le plus rapidement possible. Collecter des preuves : capture complète du site de Phishing, screenshots si besoin…
• Etudier l’impact du site et estimer le nombre d’utilisateurs touchés

2. Confinement

• Diffuser le contenu de l’email frauduleux sur les sites de spam-reporting. Si besoin communiquer avec les clients. Vérifier le code source du site de Phishing
• Contrôler ou les données sont exportées : vers un autre site via PHP ou envoyées directement par mail au cybercriminel.
• Regarder comment la page est construite : la partie graphique vient-elle d’un site légitime ou est-elle stockée en local ? (si elle provient d’un site, elle pourrait être modifiée par afficher « site de Phishing » sur le site frauduleux)

Demander à l’entreprise de support de faire diffuser l’URL du site frauduleux sur tous les navigateurs Internet. Cela empêchera les utilisateurs d’y accéder. Déployer une page d’alerte à destination des client pour les informer de l »attaque en cours et pour les former sur le Phishing.

3. Remédiation (Correction)

• Si le site de Phishing est hébergé sur un site compromis, l’entreprise de support externe doit contacter le propriétaire du site pour qu’il effectue les actions nécessaires pour arrêter la fraude. L’entreprise de support externe doit contacter l’hébergeur du site (via mails ou téléphone) pour faire accélérer les choses. L’entreprise de support externe doit contacter l’hébergeur pour fermer le compte qui reçoit les données volées (que ce soit dans le cas d’un site ou d’une adresse mail).
• Dans le cas d’une redirection (le lient présent dans un mail redirige vers une page) l’entreprise de support externe dois faire fermer la redirection en contactant l’hébergeur. Si la fermeture est trop lente, l4entreprise de support externe dois contacter un CERT local dans le pays concerné, qui pourra aider à faire disparaitre la fraude

Habituellement, les addresse mail de contact des hébergeurs sont de la forme « abus@hébergeur.com » Si l’hébergeur ne répond pas dans l’immédiat, ne pas hésiter à le relancer ou à le rappeler (toutes les deux heures exemple)

3. Récupération

• Vérifier que le site et/ou l’adresse mail frauduleux son bien fermés. Continuer de Contrôler l’URL frauduleuse. Parfois un site de phishing pet réapparaitre quelques temps après. Si une redirection était utilisée et n’a pas fermée, il faut la surveiller attentivement. A la fin de la campagne de Phishing, enlever l’avertissement associé au site web

Assistance en cas de problème

• Veuillez-vous faire assister par un prestataire CYBERSECURITE local que vous aurez préalablement identifié.
• Contacter vos correspondants « infrastructure et sécurité » qui vous apporteront leurs assistances et compétences pour traiter l’incident