Phishing Comment protéger mes données bancaires sur Internet



Documents pareils
Sécurisation des paiements en lignes et méthodes alternatives de paiement

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Club des Responsables d Infrastructures et de la Production

Le paiement sur Internet

Présenté par : Mlle A.DIB

Le petit liver vert du phishing. du phishing. Le petit livre vert. w w w. n o r m a n.c o m

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

SECURIDAY 2013 Cyber War

DOSSIER : LES ARNAQUES SUR INTERNET

Coupez la ligne des courriels hameçons

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

SENSIBILISATION À LA CYBERSÉCURITÉ : LE COMPORTEMENT À RISQUE DES INTERNAUTES

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

LE PHISHING, PÊCHE AUX POISSONS NAÏFS

Achats en ligne - 10 re flexes se curite

EMV, S.E.T et 3D Secure

GUIDE DE L'UTILISATEUR AVERTI


Guide d implémentation. Réussir l intégration de Systempay

Sécuriser les achats en ligne par Carte d achat

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

ACHATS EN LIGNE 10 RÉFLEXES SÉCURITÉ. Le site pratique pour les PME. N 2 LES GUIDES SÉCURITÉ BANCAIRE

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Banque a distance - 10 re flexes se curite

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

La fraude en entreprise

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Les menaces informatiques

Gestion du risque numérique

fr (pf.ch/dok.pf) PF. Manuel e-payment Payment Service Providing PostFinance SA

Internet sans risque surfez tranquillement

L IMPACT ATTENDU DE DMARC SUR LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab

[ Sécurisation des canaux de communication

Netdays Comprendre et prévenir les risques liés aux codes malicieux

Les conseils & les astuces de RSA Pour être tranquille sur Internet

L authentification de NTX Research au service des Banques

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

De vous familiarisez avec les concepts liés aux droits des consommateurs.

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

BANQUE À DISTANCE 10 RÉFLEXES SÉCURITÉ. N 4 LES GUIDES SÉCURITÉ BANCAIRE MAI 2015

Service d'authentification LDAP et SSO avec CAS

Solutions de sécurité des données Websense. Sécurité des données

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier

Annexe 4. Kaspersky Security For MS Exchange. Consulting Team

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

La sécurité sur internet

FleXos : Présentation Zscaler

Payline. Manuel Utilisateur du Moyen de Paiement PAYPAL. Version 3.E. Monext Propriétaire Page 1 / 24

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Menaces du Cyber Espace

E-TRANSACTIONS. Guide du programmeur API Plug-in. Version 1.1

De plus en plus de gens font leurs achats sur Internet, et l offre de produits et services en ligne est grandissante. Les moyens de paiement se

Module de sécurité Antivirus, anti-spam, anti-phishing,

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

PROGRAMME Acheter en ligne Défendre ses droits Payer ses achats Attention aux offres mirifiques

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Ajouter le moyen de paiement e-chèque-vacances (ANCV) Systempay 2.3

PCI DSS un retour d experience

Règlement Spécifique DB Titanium Card

Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude

Comment se protéger contre les s suspicieux?

L e-commerce : sécurité et paiements en ligne

Plateforme Systempay. Correspondance entre SP PLUS et SYSTEMPAY Paiement Simple et en plusieurs fois

Panda Managed Office Protection. Guide d'installation pour les clients de WebAdmin

Le contexte. 1) Sécurité des paiements et protection du consommateur

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle

La sécurité des systèmes d information

Bien acheter sur l Internet. EPN de Côte de Nacre 13 décembre Gérard Becher Président de l UFC Que Choisir de CAEN

spam & phishing : comment les éviter?

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

SÉCURITÉ DES MOYENS D ACCÈS ET DE PAIEMENT

Les Ateliers Info Tonic. La Sécurité sur Internet Mardi 11 Juin 2013

Domain Name System Extensions Sécurité

Fiche de l'awt La sécurité informatique

Guide de Conduite Éthique des Affaires Guide de bon usage de la messagerie électronique

L hameçonnage consiste en un envoi. Le Phishing

Banque en ligne et sécurité : remarques importantes

La sécurité informatique

Lisez ce premier. Droit d'auteur

TREND MICRO. Le spécialiste de la lutte contre les codes malicieux. Pierre MORENO Responsable Partenaire Trend Micro France

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Livre blanc sur l authentification forte

Guide d informations. Manuel d acceptation de cartes via le terminal de paiement

République Algérienne Démocratique et Populaire Université Abou Bakr Belkaid Tlemcen Faculté dessciences Département d Informatique

Malveillances Téléphoniques

TD n o 8 - Domain Name System (DNS)

Public Key Infrastructure (PKI)

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

Réaliser des achats en ligne

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Sécurité Glossaire. Internet > Avancé > Vider le dossier Temporary Internet Files lorsque le navigateur est fermé.

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Transcription:

Club de la Sécurité des Systèmes d Information au Luxembourg Phishing Comment protéger mes données bancaires sur Internet Carlo Harpes CTO Telindus PSF - Luxembourg Netdays 23-26/11/2004 Telindus & Clussil 2004 1

Agenda et motivation Définitions Comment phisher? Organismes touchés Info divers et évolutions du phénomènes Exemples Programmation URL-Cloaking Recommendations aux Internautes Contre-mesures et protections Paiement sécurisé sur Internet Questions Netdays 23-26/11/2004 Telindus & Clussil 2004 2

Exemple: Ebay Netdays 23-26/11/2004 Telindus & Clussil 2004 3

Définitions Phishing = forme d'escroquerie en ligne qui a pour but d'obtenir, à travers internet et des moyens détournés, en trompant la vigilance des utilisateurs, des informations confidentielles qui seront utilisées de manière illégale Phish = e-mail malicieux Phisher = pirate adept du Phishing Phishing = (Phreaking + Fishing) Phreaking: hacking des centrales téléphoniques, depuis la blue Box de John Draper dans les années 70. Fishing: Allusion à la pêche de mot de passe dans l océan Internet Netdays 23-26/11/2004 Telindus & Clussil 2004 4

Comment phisher? Le phishing associe: SPAM (envoie e-mail en masse, non sollicité) Spoofing (en cachant l identité de l expéditeur) Social engineering (inciter l utilisateur à suivre un lien) URL Cloaking (faire croire que l'utilisateur va/est sur le site officiel) Scam (reproduire un site qui ressemble au site attendu de la victime; même arborescence, lien vers le bon site ou exit avec e-mail pointant vers le bon site ) Pratiques mafieuses (Utilisation des données saisies sur ce site, pour vider les comptes bancaires, dissimuler le chemin de l argent, ) Netdays 23-26/11/2004 Telindus & Clussil 2004 5

Organismes touchés Deutsche Bank AG 1 (Allemagne) Postbank AG 1 (Allemagne) Westpak 1 (Australie) Belgacom / Skynet 3 (Belgique) Société Générale 1 (France) Bred 1 (France) Citibank 1 (UK) Barclays 1 (UK) Lloyds 1 (UK) ebay et Paypal (USA) VISA 1 (USA) US Bank 1 (USA) AOL (USA) Fleet 1 (USA) Netdays 23-26/11/2004 Telindus & Clussil 2004 6

Divers sur les attaques Selon PG, 90% non signalé Détourneurs ne touchaient que 10% D abord en anglais, mais propagation aussi en France (2 cas) et Allemagne Numéros de carte de crédit sont cibles fréquents 9/2003: Arrestation d un fraudeur en Roumanie qui a coûté 500 000 $ aux utilisateurs d ebay Croissant de 52% sur 6 mois Coût: 202 Mio $ (2004); 880 (2008) (Radicati Group) réparti: o à 68% des organismes financiers, o à 17% des sociétés de cartes de crédits, o à 12% des sites d'e-commerce, o à 3% d autres secteurs Le BCEE a sensibilisé les utilisateurs d S-net au risque. Durée vie d'un site web lié au phishing (juin 2004) : 2.25 j Netdays 23-26/11/2004 Telindus & Clussil 2004 7

Evolution Netdays 23-26/11/2004 Telindus & Clussil 2004 8

Exemple Citizens Bank Netdays 23-26/11/2004 Telindus & Clussil 2004 9

Programmation URL-Cloaking <font face="arial, Helvetica, sans-serif" size="2"> <a href="http://196.15.171.42/a/c/index.php" onmouseover="window.status='https://www.citizensbank.com/tools/online/c ustomer_validation.asp';return true;" onmouseout="window.status=''"> https://www.citizensbank.com/tools/online/customer_validation.asp</a> Netdays 23-26/11/2004 Telindus & Clussil 2004 10

Exemple: Attack 16/11 Netdays 23-26/11/2004 Telindus & Clussil 2004 11

Recommendations aux Internautes En général, utiliser Anti-Virus et Firewall à jour, installer les correctifs Ne pas utiliser les liens dans e-mails Ne pas faire confiance au lien affiché (https:// ne garantit pas l authenticité du site visité) Suivre vos mouvements de comptes (il y a des semaines entre l usurpation du compte et les transferts fin.) Soyez vigilant: la conscience du problème et l esprit critique sont les meilleures armes Netdays 23-26/11/2004 Telindus & Clussil 2004 12

Contre-mesures et protections SPAM filter (par les ISP) Sensibilisation, clarification des flux de communications) Web Application Security (cross-site scripting vulnerability) Authentification forte (signature électronique, One-time PWD, min carte code avec beaucoup de données) Informer des dernières connections Sensibilisations et formations des end-users Netdays 23-26/11/2004 Telindus & Clussil 2004 13

Issuer Domain Interoperability Domain Acquirer Domain CardHolder 1 2 Merchant 3 5 4 18 11 12 13 10 14 18 Pay@Cetrel Plug - In Access Control Server (ACS) 7 13 Visa / Mc Directory 8 9 Authentication History 6 15 18 Issuer 17 18 VisaNet / EpsNet Netdays 23-26/11/2004 Telindus & Clussil 2004 14 16 18 Acquirer

Questions Merci pour votre attention carlo.harpes@cf6.lu CLUb de la Sécurité des Systèmes d'information - Luxembourg Centre d'expertise au profit de tous ses membres dans le domaine de l'audit, la sécurité et le contrôle des systèmes de l'information Sources APWG Phishing Attack Trends Report Juin, Oct. 2004 (www.antiphishing.org) CLUSIF Telindus Security Bulletin, doc interne CF6-Luxembourg The Phishing Guide (www.ngsconsulting.com) Netdays 23-26/11/2004 Telindus & Clussil 2004 15

Paiement sécurisé sur Internet 1. Le porteur effectue une demande d'achat sur le site internet du marchand (dénommé ci-après marchand) 2. Le marchand transmet au porteur l'url de Pay@Cetrel 3. Le porteur transmet sa demande d'achat à Pay@Cetrel 4. Pay@Cetrel vérifie la demande d'achat auprès du marchand 5. Le porteur choisit le type de carte et transmet son numéro de carte à Pay@Cetrel. 6. Le plug-in de Pay@Cetrel, en fonction de la carte, interroge le Directory soit de Visa, soit de MasterCard (envoi du n de carte). 7. Si le numéro de carte fait partie d'un intervalle de carte enrôlé, le Directory interroge l'acs approprié pour déterminer si la carte est enrôlée. (Sinon, le Directory crée sa propre réponse à destination du Plug-In de Pay@Cetrel et le flux continue avec l'étape 9) 8. L'Access Control Serveur répond au Directory en indiquant si l'authentification pour la carte est possible 9. Le Directory transmet la réponse (celle de l'acs + l'url de l'acs ou la sienne) au plug-in de Pay@Cetrel. Si la carte n'est pas enrôlée ou si l'authentification n'est pas possible, l'acquéreur devra soumettre une demande d'autorisation/transaction classique et le flux continue avec l'étape 15 Netdays 23-26/11/2004 Telindus & Clussil 2004 16

Paiement sécurisé sur Internet 1. Le Plug-In de Pay@Cetrel envoit une demande d'authentification à l'acs par l'intermédiaire du browser du porteur 2. L'ACS reçoit la demande d'authentification 3. L'ACS authentifie le porteur par demande du PIN, constitue sa réponse (contenant l'url du marchand, le montant, la devise,...), et la signe. 4. L'ACS renvoie sa réponse au Plug-In de Pay@Cetrel par l'intermédiaire du browser du porteur; il en envoie également une copie à l'authentication History 5. Le Plug-In reçoit la réponse de la demande d'authentification et valide la signature 6. Pay@Cetrel soumet l'autorisation / transaction à l'acquéreur 7. L'acquéreur soumet l'autorisation/ transaction à l'issuer par le circuit classique (VisaNet / EpsNet) 8. L'Issuer reçoit l'autorisation/transaction 9. La réponse de l'issuer est transmise au porteur et au marchand Netdays 23-26/11/2004 Telindus & Clussil 2004 17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back