You are on the Cert-IST public site
Comment traiter un incident de type phishing bancaire?

Date :June 16, 2005

Publication: Article

Le 21 janvier, l'Internet Storm Center ayant été victime d'une attaque de type "phishing" a publié un article donnant des recommandations sur la manière de gérer ce type d'incident. Le Cert-IST a saisi cette opportunité pour rappeler à sa communauté ce qu'il est recommandé de faire face au "phishing".

Nous rappelons que les attaques par "phishing" ont fait l'objet d'un précédent article dans le bulletin Cert-IST du mois de septembre 2004 et qu'une présentation y est consacrée lors du Forum 2005.

Le Cert-IST dans le cadre de ses services d'investigation sur incident peut vous aider à gérer ce type d'incident et traiter totalement ou en partie l'investigation. Merci de nous contacter à l'adresse cert@cert-ist.com

 

A/ Quelles mesures pour quels destinataires ?

Comme postulat bien souvent oublié, il est rappelé que le "phishing" faisant appel à des techniques d'ingénierie sociale, aucun utilisateur ne doit fournir d'informations confidentielles sur Internet (ou plus généralement par n'importe quel autre média).

1/ Cas d'un utilisateur ou d'un particulier recevant un e-mail de "phishing"

Les deux actions suivantes doivent être menées :

  • conserver la copie de l'e-mail (en-tête SMTP et contenu),
  • soumettre l'e-mail à un organisme qualifié (sur le lien http://www.antiphishing.org/report-phishing/) : la procédure pour transmettre un e-mail reçu intact vers un tiers (sans perte des en-têtes de l'e-mail) varie en fonction de l'outil de messagerie utilisé. On se reportera par exemple au site http://www.antiphishing.org/ pour connaître la démarche exacte à utiliser.
  •  

2/ Cas d'une entreprise recevant des e-mails de "phishing"

L'entreprise doit :

  • sensibiliser ses utilisateurs à ne pas fournir d'informations confidentielles sur Internet,
  • prévenir ses utilisateurs de la propagation de l'e-mail de "phishing",
  • conserver une ou plusieurs copies de l'e-mail (en-tête SMTP et contenu),
  • soumettre cet incident à des organismes qualifiés (APWG ou son CERT de rattachement).
  •  

3/ Cas d'une entreprise ou organisation (banque, e-commerce...) mise en cause dans un e-mail de "phishing"

L'entreprise ou organisation doit :

 

  • sensibiliser ses clients sur les bonnes pratiques à avoir pour la gestion des comptes (bancaires ou autres) ou l'achat via Internet afin de ne pas fournir d'informations confidentielles à des tiers malveillants (e-mails, pages web, ...) sur Internet,
  • prévenir ses clients de la propagation de l'e-mail de "phishing",
  • impliquer le personnel responsable de la communication ou des "Relations Extérieures" (afin de répondre à d'éventuelles questions de la presse),
  • impliquer et transmettre le dossier à l'entité juridique de l'entreprise,
  • informer de cet incident à des organismes qualifiés (son CERT de rattachement),
  • porter plainte pour soumettre cet incident à la justice.
  •  

B/ Les étapes de l'investigation 

Voici les différentes étapes de l'investigation technique d'un incident de "phishing". Le Cert-IST peut vous aider dans chacune de ces étapes.

Conserver une ou plusieurs copies de l'e-mail malicieux

Lorsque votre organisation a été victime d'une campagne de "phishing", la première chose à faire est de conserver l'intégralité de l'e-mail malveillant  c'est-à-dire son en-tête SMTP et son contenu.  L'en-tête fournit l'adresse IP source de l'e-mail, et le contenu (analyse de son code source) le lien "réel" vers le site de "phishing" (page HTML) où la victime est redirigée pour fournir ses données personnelles. Attention, le lien affiché dans l'e-mail de "phishing" est souvent différent du lien réel de redirection. Il est également conseillé de récupérer et comparer plusieurs copies de l'e-mail car les adresses sources peuvent être différentes.

Analyser le code source du site de "phishing" et déterminer la destination des données récupérées

La page HTML sur le site de "phishing" contient vraisemblablement un formulaire HTML (ou une re-direction vers un autre site) où les informations confidentielles de l'utilisateur sont saisies. Il est recommandé la plus grande prudence avant de visiter le site mentionné dans l'e-mail ;  il peut en effet contenir du code malicieux comme par exemple un cheval de Troie qui exploite une vulnérabilité du navigateur. Il faut donc récupérer le code source de la page HTML du site et y rechercher d'éventuelles commandes/scripts malveillants.

L'autre information à obtenir est la destination des données saisies par la "victime" : est-ce le même site que le site de "phishing" ou autre site?

L'investigation va déterminer si le site originaire du "phishing" semble avoir été compromis ou pas et sa situation géographique (France ou étranger). Dans le cas où le site se trouve à l'étranger, il faut déterminer si l'hébergeur (ou le fournisseur d'accès) appartient à un CERT. Dans ce cas, le réseau des CERT auquel appartient le Cert-IST peut alors se révéler utile.

Arrêter la propagation de l'e-mail

Afin de limiter le risque que d'autres utilisateurs soient victimes du même e-mail "phishing", on a tout intérêt à mettre en place des filtres empêchant la propagation du "phishing". Cela peut être réalisé soit en stoppant les e-mails transportant le "phishing", soit en bloquant les sites web vers lesquels ces e-mails pointent. Il est difficile de mettre en oeuvre un filtrage global (protégeant tous les utilisateurs de l'Internet). Par contre ce type de filtrage est facilement réalisable au sein d'une organisation ; l'organisation ayant découvert qu'un mail de "phishing" a atteint au moins un de ses utilisateurs peut en effet facilement mettre en place un filtre protégeant l'ensemble de son périmètre.

Un cas intéressant est celui du FAI : il pourrait très bien mettre en place un service de plaintes identique au service "abuse" du type phishing@fai.com et utiliser les informations collectées pour mettre en place le filtrage.

Soumettre l'incident à la justice

Soumettre cet incident à la justice est un bon réflexe (voir affaire du Crédit Lyonnais) pour tenter de faire fermer le site, de récupérer les données volées et de faire condamner les fraudeurs.

Nota : Contacter directement l'organisation responsable n'est pas conseillé surtout si l'on souhaite investiguer et porter plainte.

Auprès de qui porter plainte ?

Il existe plusieurs interlocuteurs pour porter plainte en France. La méthode recommandée est de prendre contact avec :

  • soit  avec un des deux organismes spécialisés : le BEFTI (pour Paris uniquement) et l'OCLCTIC (pour l'ensemble de la France),
  • soit directement avec un enquêteur spécialisé de la police (les "ESCI" - Enquêteur Spécialisé en Criminalité Informatique) ou de la gendarmerie (les "N-Tech").

 

 

  • C/ Pour plus d'information :