Fortinet a découvert une vague de phishing émanant du botnet ‘ Storm Worm ‘. Considéré par beaucoup comme le réseau d’ordinateurs zombies infectés le plus important, le plus actif et le plus solide, ce botnet peer-to-peer est connu pour envoyer, en quantités massives, des spams vantant les mérites d’actions de sociétés cotées (alias pump’n'dump spam) ou d’autres offres. Son implication dans une campagne de phishing bancaire marque une nouvelle étape dans l’évolution de Storm : si le spam est une nuisance, le phishing constitue une menace dont l’objectif est généralement de vider les comptes bancaires des internautes ciblés par l’attaque.

A l’heure où ce communiqué a été rédigé, la campagne de phishing visait les clients de la Barclays. Tous les e-mails sont similaires dans leur forme et sont rédigés en employant les techniques rédactionnelles classiques d’ingénierie sociale visant à tromper les utilisateurs mal informés. Si ces utilisateurs peuvent avoir entendu parler des risques d’attaques informatiques frauduleuses sur les sites de banque en ligne, ils n’en demeurent pas moins incapables d’identifier ce type d’attaque. Les phishers ont souvent recours à cette démarche d’ingénierie sociale pour trois raisons :

1. un contrôle de sécurité est un bon prétexte pour demander à l’individu de se connecter à son compte ;

2. le ‘ facteur peur ‘ associé au contrôle de sécurité pousse également l’individu à suivre les instructions qui lui sont données ;

3. l’utilisateur peut penser que le contrôle de sécurité, par nature, ne peut pas être une attaque dont il est fait référence dans l’e-mail.

Il est intéressant de noter que l’utilisation des techniques d’ingénierie sociale dans les e-mails existe depuis assez longtemps maintenant : il y a quatre ans, le rapport du 9 janvier 2004 de Netcraft mentionnait déjà ce type de menace. En d’autres termes, il est très probable que le support actuel ait été obtenu par un vieux kit de phishing.

Le site de phishing est hébergé sur un domaine ‘ fast-flux ‘ (une structure réseau solide, exploitée par le gang Storm depuis mi-2007 ; pour plus de détails sur les réseaux ‘ fast-flux ‘, reportez-vous à notre Analyse sur la menace Canadian Pharmacy). Le propriétaire du nom de domaine a été notifié, l’URL a été mise sur la liste noire du service de filtre Web de Fortinet et le modèle conçu pour bloquer les e-mails de phishing est inclus dans les définitions AV 8.598 de Fortinet.

Auteur : Fortinet
Source GlobalSecurityMag

Pour mieux saisir les mots barbares qui parsèment la configuration d’un compte de messagerie, nous avons interviewé le courrier électronique lui-même.

Micro Hebdo : Bonjour, Mél. Je peux vous appeler comme ça ?

Le courrier électronique : Mouais… C’est correct. En tout cas, la Commission générale de terminologie et de néologie entérine ce nom pour moi. Mais je dois avouer que peu de gens sont habitués à m’appeler ainsi. On préfère la plupart du temps me garder un petit côté américain, en m’appelant e-mail. Certains francophones préfèrent l’appellation courriel. Bref, mon nom complet, c’est ‘ courrier électronique ‘, pour mon petit nom, à vous de voir.

Etes-vous jeune au point qu’on ne vous ait pas encore donné de nom de baptême ?

Pas vraiment… J’ai quand même 36 ou 37 ans, selon les versions. On considère que mon géniteur est Ray Tomlinson, un ingénieur travaillant sur le projet militaire Arpanet qui, en 1971, a écrit un programme : SNDMSG/READMAIL. Il permettait d’échanger un message entre un ordinateur et un autre. Croyez-moi, ce n’était pas si simple, à l’époque. Et le programme de Tomlinson ressemble de très loin à la messagerie d’aujourd’hui.

Mais la première adresse de courrier électronique est la sienne : tomlinson@bbn-texena. C’est lui qui avait décidé de séparer les adresses électroniques avec, à gauche, le nom de l’utilisateur et, à droite, le nom du domaine sur lequel se trouve l’adresse, c’est-à-dire en gros le nom de l’ordinateur sur lequel sont stockés les messages.

Pour bien séparer le nom d’utilisateur du nom de domaine, Tomlinson a pensé à utiliser le caractère @, l’arobase. Celui-ci était rarement utilisé, et pouvait donc à l’époque être facilement repéré. De plus, en anglais, il se dit ‘ at ‘, c’est-à-dire ‘ chez ‘ . Un bon choix en somme.

D’accord, c’est simple à comprendre. On ne peut pas toujours en dire autant des logiciels de courrier électronique : pour les utiliser, il faut passer par une phase de configuration. Au cours de celle-ci, on doit entrer plein de termes barbares : ‘ smtp ‘, ‘ pop ‘, ‘ imap ‘… Qu’est-ce que c’est que tout ça ?

Humm… Pour bien comprendre, il faut que je vous explique comment je fonctionne. En fait, je suis constitué de plein de boîtes aux lettres, un peu comme des bureaux de poste, disséminées un peu partout sur Internet. Ce sont les serveurs de courrier. Entre eux, ils parlent un langage commun (on parle d’un protocole) qui leur permet de se contacter les uns les autres. Ce langage s’appelle le SMTP, pour Simple Message Transfert Protocol. La partie du serveur de courrier qui s’occupe de transférer les messages s’appelle serveur SMTP.

Lorsqu’un serveur SMTP reçoit un courrier, il vérifie que dans l’adresse, le nom à droite du caractère @ est bien le sien. Par exemple, un serveur SMTP free va reconnaître qu’une adresse comme : monsieurmadame@free.fr est bien dans son domaine. Dans ce cas-là, il vérifie qu’il a bien une boîte aux lettres correspondant à l’utilisateur dont le nom se trouve à gauche du caractère @. Il y stocke alors le message. Mais, si le serveur voit que le nom à droite de l’arobase ne correspond pas à son propre domaine, il va chercher sur Internet le bon serveur SMTP et lui transmet le message.

Cela ne permet pas aux utilisateurs de consulter les messages, ni de les relever : les serveurs SMTP se contentent de les acheminer. Ils peuvent transférer les messages depuis le logiciel de courrier électronique d’un utilisateur vers un serveur SMTP, puis d’un serveur vers un autre serveur. Mais ils ne peuvent pas être consultés pour lire le contenu des boîtes aux lettres !

C’est complètement incohérent ! Comment fait-on pour lire notre courrier alors ?

On ne critique pas comme ça une façon de faire qui marche convenablement depuis une trentaine d’années ! Et puis, les utilisateurs ne sont pas oubliés. Pour consulter les messages, les internautes configurent leurs logiciels de messagerie afin qu’ils parlent à d’autres types de serveurs, inclus dans les serveurs de courrier, les serveurs Pop.

Cette fois-ci, la communication se fait encore dans un autre langage, le protocole Post Office Protocol, le Pop dont on utilise aujourd’hui essentiellement la troisième version, Pop3. Le serveur Pop se contente d’effectuer la remise des messages aux internautes : quand le logiciel de messagerie se connecte au serveur Pop, celui-ci lui transfère tous les messages qui se trouvent, au nom de l’utilisateur, dans la boîte aux lettres. Et voilà.

Bon, c’est un peu compliqué. Je dois retenir tout ça ?

Pas vraiment… Tout ce dont il faut se souvenir, c’est que pour que votre logiciel de courrier électronique puisse envoyer des messages, il faut lui indiquer sur quel serveur SMTP il doit se connecter. L’adresse vous est donnée par votre fournisseur d’accès à Internet et est composée ainsi la plupart du temps : smtp.nomdufournisseur.com.

Pour pouvoir lire vos courriers, il faut aussi donner le nom du serveur pop à votre logiciel. Egalement livré par votre fournisseur d’accès à Internet, il se compose le plus souvent ainsi : pop.nomdufournisseur.com. Laissez les valeurs par défaut, à moins qu’elles aussi vous soient fournies par votre FAI, pour ce qui est du ‘ port ‘, des chiffres apparaissant après le nom du serveur.

C’est aussi simple que ça ?

En fait, il y a tout de même quelques subtilités : avec la recrudescence des spams, les fournisseurs d’accès filtrent parfois l’accès à leurs serveurs SMTP, n’y autorisant que les internautes qui se trouvent effectivement sur leurs réseaux. Ainsi, si vous êtes abonné chez machin.com et que vous êtes en déplacement, connecté à Internet chez un ami, lui-même abonné chez truc.com, vous ne pourrez peut être pas vous connecter au serveur smtpmachin.com…

Chez Free, vous ne pouvez pas non plus, par défaut, vous connecter à un serveur SMTP autre que smtp.free.fr. Afin d’y arriver, vous devez d’abord aller régler votre Freebox, en désactivant dans les ‘ Autres fonctions ‘ des ‘ Fonctionnalités optionnelles de la Freebox ‘ le ‘ blocage SMTP sortant ‘, activé par défaut. En résumé, le serveur pop (entrant) peut toujours rester le même, le serveur SMTP doit, la plupart du temps, être celui du réseau sur lequel vous êtes connecté.

On parle aussi de configurer le serveur ‘ Imap ‘. De quoi s’agit-il ?

Le protocole Pop est un peu désuet, je le concède. Un de ses principaux inconvénients est qu’il est réglé, par défaut, pour relever tous les messages sur la boîte aux lettres, pour les supprimer. Si on souhaite éviter cette suppression, il faut aller manuellement désactiver l’effacement des messages lus sur le serveur. De plus, Pop ne sait accéder aux messages que les uns après les autres, pas simultanément.

Un protocole plus récent, l’Imap, pour Internet Message Access Protocol, offre un peu plus de souplesse. Par défaut, il ne télécharge pas les messages en les effaçant, mais se contente d’en récupérer des copies. Là où le protocole Pop sert à télécharger le contenu des boîtes aux lettres, Imap se charge plutôt de synchroniser votre logiciel de messagerie avec le contenu du serveur de courrier. Mais Imap n’est pas encore pris en charge par tous les serveurs de courrier, ni par tous les logiciels de courrier électronique.

Bon… Et comment fait-on pour savoir quels serveurs existent pour quel service de courrier électronique ?

Votre fournisseur d’accès à Internet vous a fourni les adresses des serveurs SMTP, Pop et/ou Imap avec votre guide d’installation. Mais vous pouvez retrouver l’adresse de la plupart des serveurs de courrier des principaux FAI sur www.commentcamarche.net.

Source 01Net.com
Plus d’infos sur Namebay Corporate : Organiser ses adresses emails