WELCOME TO THE
EU-PI PROJECT BLOG

HTTPS bien une arnaque ? Cette fois, oui !

03/10/2013
Phishing-Initiative

Notre précédent billet revenait sur une technique grossière, employée par certains phishers pour tromper les utilisateurs en affichant dans le spam un lien commençant par « https ».
Or les utilisateurs deviennent de plus en plus avertis et pensent de plus en plus à vérifier la présence du « cadenas vert » et d’une adresse commençant par « https » dans le navigateur. Cet élément visuel signifie en effet qu’un certificat SSL chiffrant les échanges entre le poste et le site Web est configuré sur le domaine visité.

Mais les pirates commencent à rendre un petit peu moins utile ce conseil, répété depuis des années pour faciliter la détection les cas suspects. Ils acquièrent et configurent effectivement des certificats SSL pour les domaines frauduleux qu’ils déposent spécifiquement pour certaines campagnes de phishing.

Nous avons ainsi identifié hier un phishing utilisant le prétexte d’un nouveau service, Paylib, pour pousser les victimes à divulguer des données personnelles et bancaires confidentielles (dont le numéro de carte de crédit).

Il est à noter que l’annonce publique du service Paylib est intervenue il y a tout juste 1 semaine : le temps pour les phishers d’identifier cette opportunité et de créer ce template…

Nous avions vu dans le passé quelques cas ayant recours à des sites Web compromis disposant d’un
certificat SSL. Mais ce genre de cas avec acquisition d’un certificat demeure très rare (moins d’une dizaine par an en France nous sont remontés), probablement car ces certificats sont payants.
Au besoin, les pirates utilisent néanmoins des tarifs réduits par achat en gros, des offres promotionnelles ou tout simplement passent commande avec une CB volée, lorsque celle-ci n’est pas encore en opposition.

Par ailleurs, le domaine incriminé dans ce cas contenait la marque « paylib » et le nom d’une banque participante, et utilisait l’extension en « .fr », renforçant d’autant plus la crédibilité du site.

Ces frais et manipulations représentent un « coût » (et un risque) pour le fraudeur, mais crédibilisent quelque peu son attaque. Les analystes de Lexsi qui procèdent aux vérifications ont d’ailleurs mis un peu plus de temps pour se prononcer définitivement sur ce cas (alors que la plupart des cas sont traités en moyenne en moins de 15min).
Une fois le cas confirmé comme frauduleux, Phishing-Initiative a rapidement fait bloquer le site, qui n’a été en ligne au final que quelques heures au total.

Il est à espérer que le ROI de mener une telle attaque demeure néanmoins inférieur à l’avantage procuré par cette approche visant à crédibiliser le site frauduleux (et donc que peu ou pas d’internautes ont divulgués des informations exploitables par les fraudeurs).
Sans quoi il se pourrait que se développe ce modus operandi.