Aller au contenu
Accueil » Détecter le phishing et la fraude sur Internet

Détecter le phishing et la fraude sur Internet


Le “phishing” est utilisé dans de très nombreux cas d’arnaques sur internet. Il est en particulier exploité pour contourner les systèmes de paiements des sites de locations de vacances. Typiquement, un annonceur crée une fausse annonces et indique aux potentiels locataires qu’il recevront “un email du site”. Un email est bien envoyé …mais par le fraudeur, imitant ceux de la plate-forme et invitant à cliquer sur un lien frauduleux ou à faire un paiement par virement sur son compte bancaire.

A. Qu’est-ce que le “phishing” ?

Pour rappel le “phishing” (dérivé de l’anglais “fishing”, pêche) est une technique qui vise à imiter une entité légitime (institution, banque, site e-commerce, etc.) sur différents supports de communication, en particulier les emails, les SMS et les sites internet. La technique consiste à leurrer l’internaute en imitant l’entité légitime pour obtenir des données personnelles : identifiants d’accès à un site, numéro de carte bancaire, etc. Le phishing est à l’origine de 90% des arnaques sur internet.

B. Détection du nom de domaine dans une adresse web

Heureusement détecter les tentatives de phishing est facile …à condition de savoir identifier le “nom de domaine” d’une adresse web.

En effet, un nom de domaine appartient à une entité (personne physique, entreprise, association, gouvernement). Il est très difficile d’exploiter de façon frauduleuse le nom de domaine d’une entité légitime pour créer un site ou une page.

Dans l’immense majorité des cas, le fraudeur va donc devoir utiliser des noms de domaines alternatifs, ressemblant généralement au nom de domaine légitime.

Un coup d’œil sur le nom de domaine permet donc de savoir rapidement si un site ou une adresse e-mail est frauduleux.

Lisez attentivement ce qui suit pour apprendre à reconnaître et distinguer les noms de domaines, sous-domaines et paths (chemins).

a. Le nom de domaine

Un nom de domaine est un nom suivi par un point “.” et une extension, utilisé pour nommer un site, par exemple :

  • mediavacances.com

b. Les sous-domaines

Un sous-domaine peut être placé devant le nom de domaine, obligatoirement séparé par un point “.” comme :

  • pay.mediavacances.com”

  • www.mediavacances.com”

Les sous-domaines peuvent en contenir d’autres, toujours séparés par des points “.”.

Exemple :

  • https://console.cloud.google.com

Relation d’appartenance

Les noms de domaines et sous-domaines se lisent de gauche à droite avec une signification d’appartenance donnée par le point “.“. Ainsi l’exemple ci-dessus doit se lire : “console” appartient à “cloud” qui appartient à “google,” qui appartient aux domaines en “.com”.

Puisque les sous-domaines appartiennent au nom de domaine, si ce dernier est légitime, les sous-domaines le sont aussi.

c. Le chemin (“path”)

Le chemin (“path” en anglais), c’est-à-dire le reste de l’adresse qui suit le nom de domaine et commence par un “/”, indique le chemin précis de la page au sein du domaine et éventuellement du sous-domaine.

Par exemple :

  • https://www.mediavacances.com/locations-vacances-promotion.php


indique que le navigateur doit trouver la page “locations-vacances-promotion.php” dans “www” qui appartient à “mediavacances.com“.

Le chemin appartient au nom de domaine. Il ne permet pas de définir la légitimité d’une adresse web.

C. Seul le nom de domaine permet d’identifier un site frauduleux

Il faut se souvenir que seul le nom de domaine permet de détecter un site frauduleux. Le reste de l’url (les sous-domaines et le chemin) n’ont pas de valeur discriminante. Néanmoins, nous expliquons plus bas qu’ils peuvent être utilisés par les cybercriminels pour induire leurs victimes en erreur.

Avant de cliquer sur un lien contenu dans un email ou une page web, vérifiez systématiquement le nom de domaine dans l’url du lien. Il suffit de passer la souris sur le lien sans cliquer, l’adresse apparait alors en bas du navigateur.

Lorsque vous êtes sur un site web, vérifiez le nom de domaine dans la barre d’adresse du navigateur.

D. La création de noms de domaines frauduleux

Comme nous l’avons vu, les fraudeurs ne peuvent pas utiliser les noms de domaine légitimes commemediavacances.com“, “airbnb.com” ou encore “societegenerale.fr” pour créer un site web. Ils doivent donc utiliser des noms de domaines différents tout en induisant en erreur l’utilisateur à l’aide de certaines techniques listées ci-dessous :

1. Nom de domaine ressemblant au nom de domaine légitime

Les cybercriminels utiliseront les techniques suivantes pour imiter le nom de domaine légitime :

  • Un tiret “-“ (seul caractère spécial autorisé dans un nom de domaine) : “mediavacances.com” ou “societegenerale.fr”

  • Une autre extension : “mediavacances.net” ou “airbnb.travel“,

  • Des chiffres : “mediavacances2.com”

  • éventuellement des caractères accentués

  • Ou en supprimant/ajoutant/remplaçant certaines lettres :“airbandb.com”, “airbb.com”, “mediavacance.com”, etc

2. Utilisation de sous-domaines

Pour rappel, les sous-domaines appartiennent au nom de domaine. Si ce dernier est frauduleux, les sous-domaines le seront aussi. Les sous-domaines sont souvent utilisés pour introduire une référence au nom de domaine légitime.

Prenons cet exemple :

  • https://societegenerale.fr.euro-bankin.ru/login.html


Le nom de domaine russe “euro-bankin.ru” est vraisemblablement frauduleux. Les sous-domaines “fr” et “societegenerale” ont été créés par son propriétaire pour afficher “societegenerale.fr” et faire croire à un site internet légitime.

3. Utilisation du “chemin”

Ici c’est le chemin, c’est-à-dire la partie de l’adresse qui est à droite du nom de domaine après le premier slash “/”, qui est utilisée pour induire l’internaute en erreur :

  • http://euro-bankin.ru/societegenerale_fr/login.html

Rappel

Pour se prémunir efficacement contre les sites de phishing, il suffit de s’assurer que le nom de domaine du site (ou du lien qui y pointe) est exactement celui du site légitime.

E. Utiliser le nom de domaine pour évaluer la légitimité d’un email

Savoir identifier un nom de domaine sert aussi à se prémunir contre les emails de phishing.

1. Les éléments de l’expéditeur

L’adresse de l’expéditeur est composée de 2 éléments :

  • Le nom de l’expéditeur, par ex. “Locations Airbnb“,

    C’est souvent la seule donnée affichée par défaut dans les boite de réception des logiciels de messagerie. Ce nom peut être librement défini par l’expéditeur. Ces deux caractéristiques font qu’il est systématiquement utilisé pour tromper l’internaute.

  • L’adresse email par ex. “airbnb-booking@gmail.com

    C’est la partie la plus intéressante. Elle s’affichera souvent que lorsque l’on clique sur le sujet de l’email dans la boite de réception.

    L’adresse email est composé de deux parties :

    – Le nom de l’utilisateur (user) avant le @, “airbnb-booking” dans l’exemple ci-dessus,
    – Le nom de domaine après le @, ” mail.com” dans l’exemple ci-dessus.

    C’est le nom de domaine qui nous intéresse. On verra plus bas comment il peut être utilisé pour détecter les emails de phishing.


Dans cet exemple, nous avons donc l’adresse complète suivante :

  • “Locations Airbnb” airbnb-booking@gmail.com


NB : Nous verrons plus bas que cet expéditeur indique un e-mail frauduleux, car le nom de domaine du serveur (“gmail.com”) n’est pas celui de l’entité légitime (“airbnb.com”).

Lorsque l’on évalue la légitimité de l’expéditeur d’un email, seul le nom de domaine de l’adresse email doit être pris en compte.

2. Comment utiliser le nom de domaine pour détecter les emails de phishing ?

Le nom de domaine des adresses email des expéditeurs d’emails de phishing peuvent être :

  • Des noms de domaine de services emails (Gmail, Orange.fr etc.)

    La plupart des sociétés et institutions utilisent des adresse email associées à leur propre nom de domaine (airbnb.com, mediavacances.com, abritel.fr, etc.). L’identification du nom de domaine d’un service de messagerie gratuit dans le cadre d’un email commercial indique très souvent un email frauduleux.

    Par exemple :

    “Airbnb” reservation-airbnb@gmail.com

  • Des noms de domaine frauduleux

    Les cybercriminels utilisent des noms de domaine qui ressemblent aux nom de domaines légitimes en utilisant plusieurs techniques vues plus haut concernant les sites de phishing.

    Quelques exemples avec le nom de l’expéditeur et l’adresse email (nom de domaine en gras).

    LCL – Banque et assurance” notification-fa@lcl-pro.fr
    “Web <Banque Postale> ” nepasrepondre@ns3-banquepostal.com
    “Amazon Business” infos@achevelements.fr
    “Service CHRONOPOST” noreply@agence-douanepost.fr

3. Vérifier les liens contenus dans l’email

L’immense majorité des emails de phishing visent à vous rediriger vers un site de phishing, sur lequel les cybercriminels pourront vous demander de saisir vos données de connexion, données bancaires, etc.

L’analyse des liens contenus dans un email est donc très instructive.

Il suffit de :

  • Passer la souris sur les liens les plus visibles* (sans cliquer)
    Les emails de phishing mixent parfois les liens légitimes et les liens frauduleux. Ce sont cependant ces derniers qui sont mis en avant dans l’email.

  • Localiser le nom de domaine dans l’URL (voir ci-dessus)

  • Vérifier que que le nom de domaine est exactement le même que celui de l’entité légitime
    Si ce n’est pas le cas, il s’agit d’un email de phishing.

4. Exemple d’e-mail avec expéditeur et lien frauduleux

L’exemple ci-dessous vous présente un e-mail de phishing bancaire. Un simple contrôle du nom de domaine de l’expéditeur (“client7845bred.fr”) et de l’adresse de destination du lien (“porjefatkenj.com”) permet de détecter facilement un e-mail frauduleux.

E. Le protocole sécurisé “https”

Qu’est ce que le protocole “https” ?

Le “https” est une version sécurisée (“s”) du protocole “http” qui permet d’afficher des pages web. Il permet, en particulier, de crypter les données envoyées par le site et d’authentifier dans une certaine mesure l’auteur du contenu. Tous les sites légitimes de location de vacances ont une adresse utilisant le protocole “https“. Le protocole apporte une faible protection contre les sites de phishing (voir plus bas).

Quel est le niveau de risque des sites en “http” et “https” ?

L’utilisation du protocole simple “http” est un indicateur fort d’un site de phishing. Attention cependant, l’existence du protocole sécurisé ne garantit pas la légitimité du site. En effet, 60% des sites de phishing parviennent à utiliser le protocole https.

Pour résumer :

  • “http” : risque important

  • “https” : risque diminué mais existant

Comment savoir si l’on est en présence d’un protocole standard ou sécurisé ?

Il suffit de regarder la barre d’adresse du navigateur qui doit afficher “https” et/ou un cadenas.

F. Testez vos connaissances !

Vous avez tout compris ? Bravo. Vous pouvez maintenant tester vos connaissances sur cette page.