Informatique

Pouvoir et peur, les secrets d’une arnaque de phishing réussie

Deux chercheurs américains ont mené une expérience destinée à identifier les éléments d’un "bon" e-mail de phishing, capable d’abuser les internautes. L’enjeu est de comprendre comment pensent et agissent les escrocs du Net.

Un e-mail de phishing se présentant comme émanant de BNP Paribas en 2014.

Imaginez que vous receviez deux- e-mails. L'un annonce : " Selon nos informations, vous avez remporté le jackpot de notre loterie. Récupérez vos gains ! Cordialement. " L'autre prévient : " Cher contribuable, nos dossiers fiscaux indiquent que vous avez des taxes non-acquittées pour l'année 2017. Cliquer ici pour le paiement. Nos sentiments les plus sincères, Services des Impôts " L'un et l'autre comportent un lien vers un formulaire où vous devez saisir certaines données personnelles. Sachez, si vous ne l'avez pas compris, qu'il s'agit d'une escroquerie relevant du phishing dans les deux cas (voir un exemple ici). Mais sachez aussi que vous êtes plus susceptible de succomber au deuxième qu'au premier.

Des volontaires mis en situation

Une expérience de deux chercheurs de l'université américaine de Carnegie Mellon, à Pittsburgh, a en effet permis de dégager les caractéristiques d'un e-mail de phishing efficace. C'est-à-dire qui parvient à convaincre un internaute de fournir des données sensibles telles des coordonnées bancaires, des mots de passe, des identifiants. Pour cela, ils ont tout simplement fait appel à des volontaires pour les mettre en situation.

D'un côté, ils ont demandé à 105 participants recrutés sur la plateforme collaborative d'Amazon Mechanical Turk de créer des e-mails de phishing. Ils devaient faire appel à leur "intuition" sur la manière de les rédiger et sur l'identité supposée de l'expéditeur, inclure un lien et avoir pour objectif de récupérer des données personnelles. Dans l'article détaillant l'expérience, publié le 21 février dans Frontiers in Psychology, les chercheurs expliquent avoir simplement donné quelques pistes : " Nous avons dit à ces auteurs de phishing que les attaquants avaient généralement pour stratégie d'exploiter les faiblesses des émotions humaines (cupidité, curiosité, obéissance à une autorité, urgence), se faisaient passer pour des amis ou des relations, proposaient de l'aide, informaient leurs destinataires d'une faille ou d'un problème ou fixaient une date limite pour obtenir une réponse immédiate. "

Histoire de motiver les troupes, les chercheurs ont conçu l'expérience sous la forme d'un jeu, avec un système de points attribués en cas de réussite d'une attaque de phishing. Un millier des points équivalant à un dollar.

Efficacité du pseudo-mail d'une administration

En face, 340 autres participants ont tenu la place des destinataires. Sans, évidemment, qu'il leur soit révélé que les e-mails étaient frauduleux. Le dispositif leur était présenté comme une étude sur la manière dont les gens géraient leurs courriers électroniques. Ils ont alors reçu vingt e-mails, dix totalement banals et inoffensifs, et dix autres contenant du phishing.

Bilan ? Les attaques qui se camouflaient derrière la promesse d'un gain (à la loterie par exemple), d'une bonne affaire ou de la vente de produits illégaux (exigeant que l'internaute s'inscrive pour bénéficier d'une offre temporaire) sont les moins efficaces. Ce qui marche le mieux, c'est le (faux) e-mail un peu sévère d'une administration et autre autorité détentrice d'un pouvoir (comme les impôts…) ou celui d'un proche. La perspective de profiter de quelque chose, argent ou offre spéciale, ne fait pas le poids face à un message avertissant qu'il y a eu un problème sur votre e-mail, vos coordonnées, vos mots de passe, et qu'il faut tout ressaisir dans un formulaire en ligne accessible en cliquant sur le lien fourni dans le message. Faute de quoi, l'internaute ne pourra plus bénéficier d'un service, verra son compte inutilisable voire se mettra en faute. Or tous les spécialistes de sécurité informatique vous le diront : une banque, un site de commerce électronique, une administration, un service en ligne quelconque ne demandent jamais d'informations de cette manière.