Club de la Sécurité des Systèmes d Information au Luxembourg Phishing Comment protéger mes données bancaires sur Internet Carlo Harpes CTO Telindus PSF - Luxembourg Netdays 23-26/11/2004 Telindus & Clussil 2004 1
Agenda et motivation Définitions Comment phisher? Organismes touchés Info divers et évolutions du phénomènes Exemples Programmation URL-Cloaking Recommendations aux Internautes Contre-mesures et protections Paiement sécurisé sur Internet Questions Netdays 23-26/11/2004 Telindus & Clussil 2004 2
Exemple: Ebay Netdays 23-26/11/2004 Telindus & Clussil 2004 3
Définitions Phishing = forme d'escroquerie en ligne qui a pour but d'obtenir, à travers internet et des moyens détournés, en trompant la vigilance des utilisateurs, des informations confidentielles qui seront utilisées de manière illégale Phish = e-mail malicieux Phisher = pirate adept du Phishing Phishing = (Phreaking + Fishing) Phreaking: hacking des centrales téléphoniques, depuis la blue Box de John Draper dans les années 70. Fishing: Allusion à la pêche de mot de passe dans l océan Internet Netdays 23-26/11/2004 Telindus & Clussil 2004 4
Comment phisher? Le phishing associe: SPAM (envoie e-mail en masse, non sollicité) Spoofing (en cachant l identité de l expéditeur) Social engineering (inciter l utilisateur à suivre un lien) URL Cloaking (faire croire que l'utilisateur va/est sur le site officiel) Scam (reproduire un site qui ressemble au site attendu de la victime; même arborescence, lien vers le bon site ou exit avec e-mail pointant vers le bon site ) Pratiques mafieuses (Utilisation des données saisies sur ce site, pour vider les comptes bancaires, dissimuler le chemin de l argent, ) Netdays 23-26/11/2004 Telindus & Clussil 2004 5
Organismes touchés Deutsche Bank AG 1 (Allemagne) Postbank AG 1 (Allemagne) Westpak 1 (Australie) Belgacom / Skynet 3 (Belgique) Société Générale 1 (France) Bred 1 (France) Citibank 1 (UK) Barclays 1 (UK) Lloyds 1 (UK) ebay et Paypal (USA) VISA 1 (USA) US Bank 1 (USA) AOL (USA) Fleet 1 (USA) Netdays 23-26/11/2004 Telindus & Clussil 2004 6
Divers sur les attaques Selon PG, 90% non signalé Détourneurs ne touchaient que 10% D abord en anglais, mais propagation aussi en France (2 cas) et Allemagne Numéros de carte de crédit sont cibles fréquents 9/2003: Arrestation d un fraudeur en Roumanie qui a coûté 500 000 $ aux utilisateurs d ebay Croissant de 52% sur 6 mois Coût: 202 Mio $ (2004); 880 (2008) (Radicati Group) réparti: o à 68% des organismes financiers, o à 17% des sociétés de cartes de crédits, o à 12% des sites d'e-commerce, o à 3% d autres secteurs Le BCEE a sensibilisé les utilisateurs d S-net au risque. Durée vie d'un site web lié au phishing (juin 2004) : 2.25 j Netdays 23-26/11/2004 Telindus & Clussil 2004 7
Evolution Netdays 23-26/11/2004 Telindus & Clussil 2004 8
Exemple Citizens Bank Netdays 23-26/11/2004 Telindus & Clussil 2004 9
Programmation URL-Cloaking <font face="arial, Helvetica, sans-serif" size="2"> <a href="http://196.15.171.42/a/c/index.php" onmouseover="window.status='https://www.citizensbank.com/tools/online/c ustomer_validation.asp';return true;" onmouseout="window.status=''"> https://www.citizensbank.com/tools/online/customer_validation.asp</a> Netdays 23-26/11/2004 Telindus & Clussil 2004 10
Exemple: Attack 16/11 Netdays 23-26/11/2004 Telindus & Clussil 2004 11
Recommendations aux Internautes En général, utiliser Anti-Virus et Firewall à jour, installer les correctifs Ne pas utiliser les liens dans e-mails Ne pas faire confiance au lien affiché (https:// ne garantit pas l authenticité du site visité) Suivre vos mouvements de comptes (il y a des semaines entre l usurpation du compte et les transferts fin.) Soyez vigilant: la conscience du problème et l esprit critique sont les meilleures armes Netdays 23-26/11/2004 Telindus & Clussil 2004 12
Contre-mesures et protections SPAM filter (par les ISP) Sensibilisation, clarification des flux de communications) Web Application Security (cross-site scripting vulnerability) Authentification forte (signature électronique, One-time PWD, min carte code avec beaucoup de données) Informer des dernières connections Sensibilisations et formations des end-users Netdays 23-26/11/2004 Telindus & Clussil 2004 13
Issuer Domain Interoperability Domain Acquirer Domain CardHolder 1 2 Merchant 3 5 4 18 11 12 13 10 14 18 Pay@Cetrel Plug - In Access Control Server (ACS) 7 13 Visa / Mc Directory 8 9 Authentication History 6 15 18 Issuer 17 18 VisaNet / EpsNet Netdays 23-26/11/2004 Telindus & Clussil 2004 14 16 18 Acquirer
Questions Merci pour votre attention carlo.harpes@cf6.lu CLUb de la Sécurité des Systèmes d'information - Luxembourg Centre d'expertise au profit de tous ses membres dans le domaine de l'audit, la sécurité et le contrôle des systèmes de l'information Sources APWG Phishing Attack Trends Report Juin, Oct. 2004 (www.antiphishing.org) CLUSIF Telindus Security Bulletin, doc interne CF6-Luxembourg The Phishing Guide (www.ngsconsulting.com) Netdays 23-26/11/2004 Telindus & Clussil 2004 15
Paiement sécurisé sur Internet 1. Le porteur effectue une demande d'achat sur le site internet du marchand (dénommé ci-après marchand) 2. Le marchand transmet au porteur l'url de Pay@Cetrel 3. Le porteur transmet sa demande d'achat à Pay@Cetrel 4. Pay@Cetrel vérifie la demande d'achat auprès du marchand 5. Le porteur choisit le type de carte et transmet son numéro de carte à Pay@Cetrel. 6. Le plug-in de Pay@Cetrel, en fonction de la carte, interroge le Directory soit de Visa, soit de MasterCard (envoi du n de carte). 7. Si le numéro de carte fait partie d'un intervalle de carte enrôlé, le Directory interroge l'acs approprié pour déterminer si la carte est enrôlée. (Sinon, le Directory crée sa propre réponse à destination du Plug-In de Pay@Cetrel et le flux continue avec l'étape 9) 8. L'Access Control Serveur répond au Directory en indiquant si l'authentification pour la carte est possible 9. Le Directory transmet la réponse (celle de l'acs + l'url de l'acs ou la sienne) au plug-in de Pay@Cetrel. Si la carte n'est pas enrôlée ou si l'authentification n'est pas possible, l'acquéreur devra soumettre une demande d'autorisation/transaction classique et le flux continue avec l'étape 15 Netdays 23-26/11/2004 Telindus & Clussil 2004 16
Paiement sécurisé sur Internet 1. Le Plug-In de Pay@Cetrel envoit une demande d'authentification à l'acs par l'intermédiaire du browser du porteur 2. L'ACS reçoit la demande d'authentification 3. L'ACS authentifie le porteur par demande du PIN, constitue sa réponse (contenant l'url du marchand, le montant, la devise,...), et la signe. 4. L'ACS renvoie sa réponse au Plug-In de Pay@Cetrel par l'intermédiaire du browser du porteur; il en envoie également une copie à l'authentication History 5. Le Plug-In reçoit la réponse de la demande d'authentification et valide la signature 6. Pay@Cetrel soumet l'autorisation / transaction à l'acquéreur 7. L'acquéreur soumet l'autorisation/ transaction à l'issuer par le circuit classique (VisaNet / EpsNet) 8. L'Issuer reçoit l'autorisation/transaction 9. La réponse de l'issuer est transmise au porteur et au marchand Netdays 23-26/11/2004 Telindus & Clussil 2004 17