L’année 2019 affiche un triste record. Chaque mois, en moyenne, 1,34 milliard de sauvegardes de bases de données fuiraient dans les tréfonds des Internets (selon IT Governance).
Cette quantité d’informations permet aux escrocs de se focaliser sur les consommateurs que nous sommes.
En couplant ces données avec les données des réseaux sociaux, il est possible de connaître les goûts politiques, les services en ligne utilisés par les consommateurs, leur âge, etc. Les attaquants peuvent ainsi adapter l’arnaque en fonction du profil de l’utilisateur et de ses habitudes de consommation.
Réseau mobile, nouveau vecteur d’attaque
Depuis plusieurs mois et en complément de l’email, le réseau mobile est devenu l’un des nouveaux vecteurs d’attaque choisis par les pirates. Et pour cause, le taux d’ouverture d’un SMS reçu et trois fois plus important que celui d’un email. Ce taux est d’autant plus important lorsque la victime reçoit un appel depuis un robot téléphonique.
Comme le démontre depuis plusieurs mois le baromètre « phisher’s favorite », les hackers continuent d’usurper les marques quotidiennement utilisées par les consommateurs, telles que Netflix, Apple, DHL ou encore Amazon.
SMiShing : Le phishing par SMS
Appelé également « SMiShing », le phishing par SMS, reprend la stratégie déjà connue d'usurpation d’une marque dans le but de demander à l’utilisateur de se connecter sur un site distant pour lui dérober ses accès utilisateur. Le plus souvent, sous la forme d’une campagne à grande échelle, cette technique cible une base clients d’un acteur reconnu.
Le « SMiShing » a fait parler de lui, lorsqu’il y a quelques semaines les clients du géant anglais de la grande distribution, Tesco, ont été la cible d’une vague de SMS frauduleux.
Dans cette campagne, le pirate a simulé un message de notification de réception d’un colis demandant à l’utilisateur de se connecter sur un site distant dans le but de valider la commande. Même si dans cet exemple, le lien fourni est en « http » au lieu de « https » et que le domaine n’est pas celui de l’entreprise Tesco, de nombreux utilisateurs se sont fait escroquer.
Comment se prémunir de telles attaques ?
Le problème du phishing par SMS pose une question fondamentale : Comment sécuriser l’utilisation personnelle de son téléphone lorsque ce dernier donne également accès à la boîte mail professionnelle de l’entreprise ? Le fameux usage du téléphone « Pro/Perso ».
Pour les professionnels : Intégrer la sécurité des flux SMS au travers d’un SOC
Une solution efficace réside dans le fait d’intégrer les flux web du mobile de l’utilisateur dans un portail captif relié à un SOC (Security Operations Center).
Ainsi à chaque fois qu’un utilisateur va cliquer sur un lien, ce dernier sera automatiquement envoyé au SOC, puis analysé par une intelligence artificielle capable d’identifier en temps réel les URL de phishing. Si le lien est légitime, l’utilisateur sera redirigé vers la page. Au contraire, si le lien redirige vers une page de phishing, le lien sera désactivé pour l’ensemble des collaborateurs.
Les coûts de création et d’utilisation d’un SOC sont élevés, du fait du besoin d’experts analysant les notifications 24h/24. De prime abord, cette solution s’adresse difficilement aux petites entreprises.
Depuis quelques années, des offres d’ESN (Entreprises de Services Numériques) proposant des SOC managés, ont émergé. Ce service est donc sous-traité et permet d’accéder à un niveau de sécurité optimal pour un coût limité.
Pour les particuliers :
Aujourd’hui, il n’existe pas de solution technique permettant de protéger le particulier. Pour garantir la neutralité de l’Internet et une liberté d’utilisation, il n’est pas possible légalement pour les fournisseurs téléphoniques, de filtrer les accès des utilisateurs.
Il reste donc le bon sens à appliquer pour ne pas tomber dans le piège. Pour cela, deux éléments principaux doivent être systématiquement pris en compte par les utilisateurs : Une banque ou tout autre service ne demande jamais à un utilisateur de se connecter par SMS au moyen d’un lien ! Et il est primordial de se méfier de tous les liens commençant par le préfixe « http ».