Une Brève Histoire du Phishing: Part I

Back

Produits

DigiCert PKI Platform

Protégez-vous contre les accès non autorisés, la compromission des messages électroniques et la falsification de documents grâce à notre PKI basée sur le cloud et testée pour les entreprises.

DigiCert CertCentral

Découvrez et gérez tous les certificats de votre écosystème, le tout sur une vitre.

Choisissez vos certificats TLS/SSL

Bénéficiez du certificat qui répond à vos besoins (et rien de moins)

Au-delà du chiffrement

Protégez vos sites avec des solutions automatisées de bout en bout

Certificats de signature de code pour mobile et bureau

Signaler une utilisation inappropriée du certifica

Signaler un abus de signature de code

Back

Acheter/Renouveler

Certificats TLS/SSL RENOUVELER

Secure SiteACHETER
Secure Site ProACHETER
Secure Site avec EVACHETER
Secure Site Pro avec EVACHETER
Secure Site WildcardACHETER

Outils de gestion

DigiCert CertCentralAfficher la démonstration

Code Signing Certificates RENOUVELER

Extended ValidationACHETER
Microsoft AuthenticodeACHETER
JavaACHETER
Microsoft Office & VBAACHETER
Adobe AIRACHETER
Windows PhoneS'inscrire
AndroidACHETER
Authentic Document IDs for BrewS'inscrire

Contacter le service commercial

Support 24/7 1-866-893-6565

Envoyer une demande

Certificat expiré ? Renouveler maintenant.

Si vous possédez des certificats émis avant le 1er décembre 2017, vous devrez prendre les mesures nécessaires pour les remplacer. Pour en savoir plus,

Support

Contacter le support

TLS/SSL : 1-877-438-8776 Code Signing : 1-877-438-8776

Back

Rubriques de sécurité

Community : Communauté Website Security

Une communauté de clients, de partenaires et d'employés

Back

Partenaires

Autres

Gérez vos certificats dans DigiCert® CertCentral

Tous les anciens portails de comptes Symantec ont été déplacés vers CertCentral. Connectez-vous ci-dessous si vous avez déjà activé votre compte CertCentral. Sinon, contactez nos équipes commerciales ou support here.Ils vous enverront un e-mail avec un lien unique pour accéder à votre compte. S'identifier

RUBRIQUES DE SÉCURITÉ

Une brève histoire du phishing

Le phishing est une menace par laquelle les attaquants utilisent des mécaniques d'ingénierie sociale, de manière relativement automatisée, pour piéger leurs victimes et leur faire divulguer des données sensibles qui pourront ensuite être utilisées pour usurper l'identité de la victime sur un site en ligne ou lors d'une transaction financière.

Phishing: la rétrospective

En 2007, DigiCert a célébré son 25e anniversaire en tant que leader mondial de la protection et de la sécurisation de ses clients contre les menaces en constante évolution. En effet, nombre de menaces contre lesquelles DigiCert se bat aujourd'hui étaient pratiquement inconnues à l'époque de son lancement.

Alors que la plupart des activités de l'époque s'articulaient autour des virus et autres formes de code malveillant conçu pour semer le chaos sur l'ordinateur personnel des clients, les nouvelles menaces d'aujourd'hui sèment le chaos dans la vie des clients, en dérobant leur argent, voire leur identité. L'une de ces menaces est le phishing.

Tandis que l'ingénierie sociale fait partie depuis longtemps des armes de l'arsenal des attaquants, les premiers cas d'attaques de phishing tels que nous les connaissons aujourd'hui se sont produits au milieu des années 90 et ciblaient America Online (AOL). Généralement, les attaquants utilisaient soit des messages instantanés, soit des messages électroniques pour pousser les utilisateurs à dévoiler leur mot de passe AOL. Les victimes communiquaient cette information aux attaquants qui l'utilisaient ensuite pour prendre possession de leur compte AOL. Ensuite, le compte pouvait être utilisé pour envoyer du spam et autres messages du genre.

Les fraudes par phishing se développent

Le phishing s'attaque aux données financières

Résolue à prendre ce problème au sérieux, la société AOL a appliqué de nombreuses mesures efficaces. Bien qu'elle soit encore victime d'attaques de phishing, leur nombre a relativement diminué. Entretemps, les attaquants ont pris conscience que leurs méthodes avaient du potentiel et ont commencé à les étendre à d'autres entreprises.

La vague d'attaques suivante a fait du phishing un problème grand public. Heureusement, les phisheurs n'étaient pas encore très aguerris. L'abondance des erreurs de grammaire dans leurs messages électroniques et leurs sites web trahissait immédiatement le fait que vous ne traitiez pas avec une entité légitime et qu'il fallait faire attention.

Malheureusement, plusieurs victimes n'ont pas détecté ces indices et ont continué à donner leur mot de passe, numéro de carte de crédit et autres. Les messages électroniques et les sites web de phishing mal conçus étaient suffisamment courants pour que les utilisateurs s'habituent à rechercher les erreurs d'orthographe ou grammaticales afin de distinguer les sites de phishing des sites légitimes. Toutefois, avec le recul, cette habitude a peut-être donné une fausse impression de sécurité à de nombreux internautes.

Les phisheurs se professionnalisent

Bien que la présence des erreurs d'orthographe ou autres constituent un signe évident que vous avez affaire à un phisheur, les internautes ont commencé à penser, à tort, que chaque site dont le contenu était parfaitement rédigé, sans erreur de grammaire ni d'orthographe, devait être légitime. C'était on ne peut plus faux.

Aujourd'hui, de nombreuses campagnes de phishing sont organisées de manière professionnelle. Les phisheurs utilisent généralement des kits prêts à l'emploi qui incluent des prototypes de pages web et de messages électroniques, et la plupart des outils dont ils ont besoin pour organiser une attaque de phishing.

Les pages web sont souvent des répliques exactes des pages usurpées. Par ailleurs, les messages électroniques de phishing correspondants sont non seulement bien rédigés, mais incluent également une pléthore de mécanismes visant à échapper aux filtres antispam.

Une chose est sûre : le profil du phisheur classique a changé. Alors que le phisheur des débuts pouvait être un adolescent type vivant dans le sous-sol de ses parents et cherchant à faire des bêtises à deux heures du matin, les phisheurs d'aujourd'hui sont constitués de groupes ciblant les entreprises, plutôt bien organisés et motivés par l'appât du gain.

Qui sont-ils ?

Comme les entreprises classiques, ils recherchent activement des moyens pour optimiser leur rentabilité. Par ailleurs, comme tout bon salarié, les phisheurs d'aujourd'hui sont surtout actifs pendant la semaine (DigiCert a noté une baisse de 20 % du nombre de messages de phishing uniques envoyés les week-ends). Le phishing ne nécessite plus une expertise technique particulière. En effet, la plupart des opérations de phishing peuvent être externalisées.

À travers les marchés clandestins, un phisheur peut également « louer » un serveur web compromis sur lequel il héberge ses pages de phishing. Il peut également externaliser le processus en louant une autre machine compromise à partir de laquelle un message de phishing peut être envoyé. La location de ces machines va généralement coûter quelques euros, et si le phisheur a besoin de listes d'adresses de victimes potentielles, il a la possibilité d'en acheter. Cinq dollars permettent généralement d'acheter environ 30 000 adresses électroniques.

Comment ils procèdent

Une fois qu'un phisheur a obtenu des numéros de cartes de crédit ou d'autres informations d'authentification de ses victimes, il n'a pas à réfléchir longtemps pour savoir comment monétiser ces données. En effet, celles-ci peuvent également être vendues sur les marchés clandestins.

Ces marchés clandestins existent depuis bien longtemps, à en croire les différents termes utilisés pour les nommer dans les conversations des criminels qui essaient d'effectuer des transactions. Il existe même des conventions et des protocoles clairement définis qui régulent ces transactions. Certaines entités de ces réseaux clandestins ont établi une solide réputation de sérieux et de rigueur dans les transactions, ce qui est paradoxal sachant qu'il s'agit de criminels faisant affaire entre eux.