Phishing Comment protéger mes données bancaires sur Internet

Dimension: px

Commencer à balayer dès la page:

Download "Phishing Comment protéger mes données bancaires sur Internet"

Monique Grondin
il y a 10 ans
Total affichages :

1 Club de la Sécurité des Systèmes d Information au Luxembourg Phishing Comment protéger mes données bancaires sur Internet Carlo Harpes CTO Telindus PSF - Luxembourg Netdays 23-26/11/2004 Telindus & Clussil

bancaires sur Internet Carlo Harpes CTO Telindus PSF

2 Agenda et motivation Définitions Comment phisher? Organismes touchés Info divers et évolutions du phénomènes Exemples Programmation URL-Cloaking Recommendations aux Internautes Contre-mesures et protections Paiement sécurisé sur Internet Questions Netdays 23-26/11/2004 Telindus & Clussil

Programmation URL-Cloaking Recommendations aux Internautes Contre-mesures

3 Exemple: Ebay Netdays 23-26/11/2004 Telindus & Clussil

4 Définitions Phishing = forme d'escroquerie en ligne qui a pour but d'obtenir, à travers internet et des moyens détournés, en trompant la vigilance des utilisateurs, des informations confidentielles qui seront utilisées de manière illégale Phish = malicieux Phisher = pirate adept du Phishing Phishing = (Phreaking + Fishing) Phreaking: hacking des centrales téléphoniques, depuis la blue Box de John Draper dans les années 70. Fishing: Allusion à la pêche de mot de passe dans l océan Internet Netdays 23-26/11/2004 Telindus & Clussil

pirate adept du Phishing Phishing = (Phreaking + Fishing) Phreaking: hacking des centrales téléphoniques, depuis la blue Box de John

5 Comment phisher? Le phishing associe: SPAM (envoie en masse, non sollicité) Spoofing (en cachant l identité de l expéditeur) Social engineering (inciter l utilisateur à suivre un lien) URL Cloaking (faire croire que l'utilisateur va/est sur le site officiel) Scam (reproduire un site qui ressemble au site attendu de la victime; même arborescence, lien vers le bon site ou exit avec pointant vers le bon site ) Pratiques mafieuses (Utilisation des données saisies sur ce site, pour vider les comptes bancaires, dissimuler le chemin de l argent, ) Netdays 23-26/11/2004 Telindus & Clussil

utilisateur à suivre un lien) URL Cloaking (faire croire que l'utilisateur va/est sur le site officiel) Scam (reproduire un site qui ressemble au site

6 Organismes touchés Deutsche Bank AG 1 (Allemagne) Postbank AG 1 (Allemagne) Westpak 1 (Australie) Belgacom / Skynet 3 (Belgique) Société Générale 1 (France) Bred 1 (France) Citibank 1 (UK) Barclays 1 (UK) Lloyds 1 (UK) ebay et Paypal (USA) VISA 1 (USA) US Bank 1 (USA) AOL (USA) Fleet 1 (USA) Netdays 23-26/11/2004 Telindus & Clussil

(France) Citibank 1 (UK) Barclays 1 (UK) Lloyds 1 (UK) ebay et Paypal (USA) VISA 1

7 Divers sur les attaques Selon PG, 90% non signalé Détourneurs ne touchaient que 10% D abord en anglais, mais propagation aussi en France (2 cas) et Allemagne Numéros de carte de crédit sont cibles fréquents 9/2003: Arrestation d un fraudeur en Roumanie qui a coûté $ aux utilisateurs d ebay Croissant de 52% sur 6 mois Coût: 202 Mio $ (2004); 880 (2008) (Radicati Group) réparti: o à 68% des organismes financiers, o à 17% des sociétés de cartes de crédits, o à 12% des sites d'e-commerce, o à 3% d autres secteurs Le BCEE a sensibilisé les utilisateurs d S-net au risque. Durée vie d'un site web lié au phishing (juin 2004) : 2.25 j Netdays 23-26/11/2004 Telindus & Clussil

$ (2004); 880 (2008) (Radicati Group) réparti: o à 68% des organismes financiers, o à 17% des sociétés de cartes de crédits, o à 12% des sites d'e-commerce, o à 3% d autres

8 Evolution Netdays 23-26/11/2004 Telindus & Clussil

9 Exemple Citizens Bank Netdays 23-26/11/2004 Telindus & Clussil

10 Programmation URL-Cloaking <font face="arial, Helvetica, sans-serif" size="2"> <a href=" onmouseover="window.status=' ustomer_validation.asp';return true;" onmouseout="window.status=''"> Netdays 23-26/11/2004 Telindus & Clussil

com/tools/online/c ustomer_validation.asp';return true;" onmouseout="window.

11 Exemple: Attack 16/11 Netdays 23-26/11/2004 Telindus & Clussil

12 Recommendations aux Internautes En général, utiliser Anti-Virus et Firewall à jour, installer les correctifs Ne pas utiliser les liens dans s Ne pas faire confiance au lien affiché ( ne garantit pas l authenticité du site visité) Suivre vos mouvements de comptes (il y a des semaines entre l usurpation du compte et les transferts fin.) Soyez vigilant: la conscience du problème et l esprit critique sont les meilleures armes Netdays 23-26/11/2004 Telindus & Clussil

visité) Suivre vos mouvements de comptes (il y a des semaines entre l usurpation du compte et les transferts fin.

13 Contre-mesures et protections SPAM filter (par les ISP) Sensibilisation, clarification des flux de communications) Web Application Security (cross-site scripting vulnerability) Authentification forte (signature électronique, One-time PWD, min carte code avec beaucoup de données) Informer des dernières connections Sensibilisations et formations des end-users Netdays 23-26/11/2004 Telindus & Clussil

(signature électronique, One-time PWD, min carte code avec beaucoup de données) Informer des

14 Issuer Domain Interoperability Domain Acquirer Domain CardHolder 1 2 Merchant Pay@Cetrel Plug - In Access Control Server (ACS) 7 13 Visa / Mc Directory 8 9 Authentication History Issuer VisaNet / EpsNet Netdays 23-26/11/2004 Telindus & Clussil Acquirer

Server (ACS) 7 13 Visa / Mc Directory 8 9 Authentication History 6 15 18

15 Questions Merci pour votre attention CLUb de la Sécurité des Systèmes d'information - Luxembourg Centre d'expertise au profit de tous ses membres dans le domaine de l'audit, la sécurité et le contrôle des systèmes de l'information Sources APWG Phishing Attack Trends Report Juin, Oct ( CLUSIF Telindus Security Bulletin, doc interne CF6-Luxembourg The Phishing Guide ( Netdays 23-26/11/2004 Telindus & Clussil

domaine de l'audit, la sécurité et le contrôle des systèmes de l'information Sources APWG Phishing Attack Trends Report

16 Paiement sécurisé sur Internet 1. Le porteur effectue une demande d'achat sur le site internet du marchand (dénommé ci-après marchand) 2. Le marchand transmet au porteur l'url de 3. Le porteur transmet sa demande d'achat à 4. vérifie la demande d'achat auprès du marchand 5. Le porteur choisit le type de carte et transmet son numéro de carte à 6. Le plug-in de en fonction de la carte, interroge le Directory soit de Visa, soit de MasterCard (envoi du n de carte). 7. Si le numéro de carte fait partie d'un intervalle de carte enrôlé, le Directory interroge l'acs approprié pour déterminer si la carte est enrôlée. (Sinon, le Directory crée sa propre réponse à destination du Plug-In de Pay@Cetrel et le flux continue avec l'étape 9) 8. L'Access Control Serveur répond au Directory en indiquant si l'authentification pour la carte est possible 9. Le Directory transmet la réponse (celle de l'acs + l'url de l'acs ou la sienne) au plug-in de Pay@Cetrel. Si la carte n'est pas enrôlée ou si l'authentification n'est pas possible, l'acquéreur devra soumettre une demande d'autorisation/transaction classique et le flux continue avec l'étape 15 Netdays 23-26/11/2004 Telindus & Clussil

Le plug-in de Pay@Cetrel, en fonction de la carte, interroge le Directory soit de Visa, soit de MasterCard (envoi du n de carte). 7.

17 Paiement sécurisé sur Internet 1. Le Plug-In de envoit une demande d'authentification à l'acs par l'intermédiaire du browser du porteur 2. L'ACS reçoit la demande d'authentification 3. L'ACS authentifie le porteur par demande du PIN, constitue sa réponse (contenant l'url du marchand, le montant, la devise,...), et la signe. 4. L'ACS renvoie sa réponse au Plug-In de par l'intermédiaire du browser du porteur; il en envoie également une copie à l'authentication History 5. Le Plug-In reçoit la réponse de la demande d'authentification et valide la signature 6. soumet l'autorisation / transaction à l'acquéreur 7. L'acquéreur soumet l'autorisation/ transaction à l'issuer par le circuit classique (VisaNet / EpsNet) 8. L'Issuer reçoit l'autorisation/transaction 9. La réponse de l'issuer est transmise au porteur et au marchand Netdays 23-26/11/2004 Telindus & Clussil

L'ACS renvoie sa réponse au Plug-In de Pay@Cetrel par l'intermédiaire du browser du porteur; il en envoie également une copie à l'authentication History 5.

Documents pareils

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude