L’hameçonnage par SMS : comment les pirates révèlent votre paresse

05/15/20186 Min de Lecture

Les pirates pensent sans aucun doute que vous êtes paresseux. Pourquoi ? Les cybercriminels se concentrent actuellement sur une menace de sécurité qui s’avère étonnamment simple : l’hameçonnage par SMS, ou « smishing ». Il s’agit des attaques par hameçonnage réalisées par le biais de messages texte.

On pourrait croire que les messages en provenance de numéros inconnus et contenant des liens mettraient immédiatement la puce à l’oreille : il s’agit en fait d’un vecteur de menace relativement ancien. Les cybercriminels essaient de piéger les personnes par le biais de messages depuis au moins une décennie. Mais aujourd’hui, les pirates utilisent cette technique à grande échelle, et de nombreuses personnes s’y laissent prendre.

Selon Kaspersky Lab, en 2016, les détections de malwares mobiles ont quasiment triplé par rapport à 2015, avec l’identification de 8,5 millions d’installations malveillantes au total.

D’autres données indiquent que la prévalence des chevaux de Troie a connu des hauts et des bas tout au long de l’année, mais un plan de vol des identifiants bancaires mobiles par SMS très populaire a entraîné une hausse des rapports de « smishing ». Le rapport a ainsi compté 260 000 détections de packages d’installation de chevaux de Troie mobiles de type ransomware.

Hameçonnage par SMS, où en est-on ?

Certains pros de la sécurité mobile n’en peuvent plus d’entendre parler d’hameçonnage. Mais ce débat doit pourtant rester ouvert, car les personnes continuent à cliquer sur les liens malveillants contenus dans les messages texte et e-mails. Les pirates, plutôt paresseux, veulent trouver le moyen le plus rapide et le plus simple pour tirer le meilleur profit. Du point de vue d’un cybercriminel, quel intérêt y a-t-il à coder votre propre malware quand vous pouvez l’acheter à moindre coût sur le dark Web ? Et pourquoi se donner du mal pour monter une escroquerie complexe dans une entreprise quand vous pouvez faire appel à l’ingénierie sociale pour voler des identifiants ou cibler une imprimante professionnelle sans aucune sécurité ? Vous ne pouvez pas le leur reprocher, mais vous pouvez tenter de les arrêter.

Alors que la plupart des plans d’hameçonnage sont encore envoyés par e-mail, ce domaine connaît actuellement des évolutions inquiétantes. Les tentatives de « whaling », ou attaques d’ingénierie sociale ultra-ciblées dirigées contre des responsables haut placés avec des objectifs financiers importants, sont en augmentation. Le « smishing » se répand également, et il peut devenir encore plus efficace que l’hameçonnage par e-mail pour les pirates.

Pourquoi la sécurité mobile est plus importante que vous ne le pensez

Qu’est-ce que les SMS peuvent bien avoir de si effrayant ? Et plus important, qui clique vraiment sur le lien d’un SMS provenant d’un numéro inconnu ? La réalité n’est pas aussi simple. Voilà les raisons pour lesquelles, en 2018, le « smishing » pourrait bien représenter une menace bien plus importante pour la sécurité que vous ne le pensiez :

  • Il n’existe aucun filtre de spam pour les SMS. Les filtres de spam des e-mails sont toujours plus intelligents. Ces technologies permettent de plus en plus d’identifier des messages envoyés à partir d’un nom de domaine frauduleux, avec un score à risque élevé pour l’expéditeur ou présentant un contenu douteux. En revanche, selon Steve Wicker, professeur en ingénierie informatique de l’Université Cornell, « il n’existe aucune manière infaillible de bloquer totalement les SMS d’hameçonnage ». On ne recense aucun moyen prédominant permettant de filtrer les SMS d’hameçonnage à l’exception de l’activité humaine, dans toute son imperfection.
  • L’« URL padding » est très simple avec les SMS. Les pirates sont nombreux à avoir découvert comment utiliser une technique relativement simple pour charger ou masquer des liens dans les messages texte avec des noms de domaine réputés tels que Reddit ou Twitter. Si un message vous indique provenir de votre tante Michelle et semble contenir un lien menant vers un album photo Facebook de vacances en famille, vous êtes plus susceptible de cliquer.
  • Les utilisateurs mobiles sont également paresseux. La formation en matière de sécurité a eu un impact sur les employés en ce qui concerne leur comportement au travail. Ils sont vigilants sur les ordinateurs de bureau, mais se relâchent dès qu’ils tiennent un smartphone entre leurs mains. Selon Ars Technica, même des utilisateurs mobiles relativement avertis sont d’une certaine manière conditionnés à naviguer sur le Web et à se montrer moins attentifs avant de cliquer sur un lien, par rapport à leur comportement au bureau.

L’année dernière, l’hameçonnage par SMS était en progression. Vos employés y étaient sans doute sensibles, en raison d’une tempête technologique liée à une technique de filtrage inexistante, du masquage d’URL et du fait que la plupart des personnes s’intéressent moins à la sécurité mobile que celle sur ordinateur.

Apaiser les craintes liées au hameçonnage en 3 étapes

Il n’est pas déraisonnable de croire que votre entreprise pourrait être confrontée à une attaque d’hameçonnage par SMS l’année prochaine ; il est donc préférable de vous y préparer. Voici trois manières permettant au département informatique de se montrer proactif concernant l’une des menaces de sécurité informatique actuelles les plus simples :

  1. Ne pas hésiter à s’exprimer : Tout le monde dans votre entreprise doit savoir que l’e-mail ne représente pas le seul vecteur d’hameçonnage, et que les risques sont importants. La simulation a permis d’aboutir à des résultats supérieurs par rapport à une simple formation de sensibilisation lorsqu’il est question de changer le comportement lié aux e-mails d’hameçonnage. La direction de votre entreprise pourrait probablement bénéficier d’une formation supplémentaire, en se concentrant sur les tendances d’attaques d’ingénierie sociale ultra-ciblées sur les cadres.
  2. Prêter attention aux signes d’ingénierie sociale : Toute personne équipée d’un appareil mobile devrait prêter attention aux SMS. Les messages provenant de numéros à quatre chiffres (comme 7000) représentent un risque évident. De même, les messages appelant à une action immédiate tels que « j’ai besoin de ton aide tout de suite » ou « c’est important » peuvent être le signe d’un pirate actif sur le plan social. Tout message contenant un lien ou demandant la transmission de données sensibles, même s’il semble avoir été envoyé par un ami ou un proche, doit être vérifié.
  3. Mettre en ordre votre sécurité informatique : Vous devez isoler vos appareils mobiles à l’aide de mesures de protection techniques afin d’éviter une infection massive de votre réseau. Ne laissez pas les personnes connecter leur smartphone personnel à votre Wi-Fi et conteneuriser des applications mobiles importantes. Dans les faits, il peut être judicieux de limiter le type des applications personnelles que les utilisateurs peuvent télécharger sur leurs smartphones professionnels afin de garantir la sécurité.

L’hameçonnage par SMS peut faire l’effet d’une menace de sécurité relativement simple, mais veillez à ne pas la sous-estimer durant l’année à venir.

Tektonika Staff 10/25/2018 6 Min de Lecture

RGPD : Un guide rapide pour la sécurité de vos PC et imprimantes

Les conséquences d'une violation des données clients d'une entreprise peuvent être catastrophiques pour cette dernière, quelle que soit sa taille. Cela...

Admin Istrator 10/18/2018 4 Min de Lecture

Imprimez-vous en toute sécurité?

Protéger les données contre les pirates, les menaces internes et les tiers malveillants n'a jamais été facile. L'Internet des Objets (IoT) a donné aux...

Tektonika Staff 08/09/2018 6 Min de Lecture

La cyber-sécurité exploite l’apprentissage automatique pour …

Les chercheurs font rapidement progresser les capacités des intelligences artificielles, de sorte à assurer la surveillance constante et proactive...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs requis sont marqués d'un astérisque *.