Escroquerie sur messagerie mobile, les utilisateurs trop confiants

Dispositif d’attaque mobile Sim Bank (Photo Greater Manchester Police)

Le vol d’informations personnelles et d’identification via des SMS, des MMS ou les messageries mobiles de type WhatsApp ou Messenger monte en puissance. Ce type d’attaque est étudié en détail par les chercheurs de Proofpoint, une société spécialisée dans la sécurité informatique, dans cette tribune.  

L’attaque par hameçonnage sur mobile est baptisée smishing, par analogie au vol de données par email appelé phishing. Dans le cas du smishing, les cybercriminels utilisent des cartes téléphoniques SIM, installées dans un boîtier spécifique, une « banque SIM » afin d’envoyer des centaines de SMS simultanément.

Des messages trompeurs plus simples à rédiger

Côté danger, les SMS demandent nettement moins de personnalisation qu’un email. Un rapide message texte avec un lien est très efficace pour pousser les gens à cliquer dessus lorsqu’il s’agit d’un SMS. Les emails demandent une personnalisation du message nettement plus poussée, avec des images, des typographies et des couleurs soignées pour être crédibles.

Le taux de clics sur des liens par SMS est 8 fois supérieur à des clics sur des emails

Résultat, le taux de clics par SMS est beaucoup plus important que par email. Proofpoint estime que le taux de clics sur des liens par SMS est 8 fois supérieur à la proportion de clics sur des emails. « Pour de nombreux utilisateurs de l’email, ignorer les spams et d’autres types de messages malveillants est devenu une seconde nature. Mais la messagerie mobile est plus récente, et beaucoup de personnes ont encore une grande confiance dans la sécurité des communications mobiles » prévient Proofpoint.

Le vol d’informations via les réseaux mobiles réalise du phishing par SMS, MMS, RCS et les autres types de messagerie mobile, de type WhatsApp ou Messenger. Les téléphones portables sont une cible de grande valeur pour les cybercriminels. Un smartphone peut contenir des comptes personnels donnant accès aux finances des particuliers et des entreprises, des informations personnelles sensibles et des documents commerciaux confidentiels.

Un message d’hameçonnage sur mobile est plus simple à réaliser qu’un email (Source ProofPoint)


Un taux de réussite d’une attaque sur mobile plus élevé

ProofPoint pense que le taux de réussite des attaques par smishing est susceptible d’être sensiblement plus élevé que pour le phishing par e-mail, bien que le volume des attaques par e-mail reste plusieurs fois supérieur. Côté escrocs, des kits de smishing logiciels sont disponibles à l’achat sur le dark web, tandis que l’accès aux réseaux mobiles nécessite un peu plus d’investissement.

Un boîter « SIM Bank » peut coûter des centaines, voire des milliers de dollars, selon le nombre de cartes SIM

Les réseaux mobiles sont des systèmes fermés. Il est plus difficile de créer et d’envoyer des messages de manière anonyme sur un réseau mobile. Pour envoyer un message mobile malveillant, un auteur doit d’abord accéder au réseau, ce qui nécessite des approches sophistiquées ou du matériel dédié. Le prix du matériel « SIM Bank » a récemment baissé, mais les unités peuvent encore coûter des centaines, voire des milliers de dollars, selon le nombre de cartes SIM prises en charge et le nombre de connexions mobiles simultanées que ces unités peuvent gérer.

Les criminels doivent également payer pour les cartes SIM actives à utiliser dans leur banque SIM. Au fur et à mesure que les opérateurs mobiles identifient et excluent les numéros malveillants, de nouvelles cartes SIM sont nécessaires, ce qui crée des coûts de connexion permanents.

Un risque d’être détecté plus élevé pour les escrocs

La nature physique des réseaux mobiles accroit également le risque de détection des escrocs. Dans une affaire britannique, le coupable a été arrêté dans une chambre d’hôtel. Ce n’est pas rare – les opérateurs mobiles peuvent utiliser leurs antennes relais pour identifier d’où proviennent les activités malveillantes. Dès lors, les auteurs d’attaques par smishing doivent se déplacer fréquemment pour éviter de se faire prendre.

L’attaque via mobile repose sur des leurres qui exploitent la psychologie humaine

Lors d’une attaque, le smishing reprend des recettes employées dans le phishing, en matière d’ingénierie sociale. L’approche repose sur des leurres qui exploitent la psychologie humaine. Ces attaques utilisent des tendances telles que l’aversion aux pertes et les préjugés envers l’urgence et l’autorité pour convaincre les victimes ciblées d’accomplir une action. Les différences entre les formats d’une messagerie email et le mobile signifient que les tentatives de smishing sont plus courtes et moins élaborées que de nombreux leurres par email.

Mais si l’exécution peut varier par rapport aux attaques par email, le fait d’évoquer un colis manqué ou une demande du patron reste le même. Les leurres de smishing sont généralement beaucoup moins complexes que les messages de phishing par email utilisant le même thème. Le smishing et le phishing présentent également des similitudes dans la façon dont ils ciblent les victimes potentielles. Les cybercriminels emploient des recherches détaillées pour personnaliser les messages, ciblant souvent des personnes ayant la plus grande valeur au sein d’une organisation.

Des campagnes d’attaques saisonnières

Les numéros de téléphone portable peuvent être facilement liés à une gamme d’informations personnelles. On observe également des modèles de campagnes d’attaques saisonniers similaires avec à la fois du phishing et du smishing. Les étés sont généralement plus lents et l’activité est souvent complètement suspendue pendant les périodes de vacances d’hiver.

De nombreuses personnes ont encore une grande confiance dans la sécurité des communications mobiles

Pour de nombreux utilisateurs de messagerie, ignorer les spams et d’autres types de messages malveillants est devenu une seconde nature. Mais comme la messagerie mobile est plus récente, de nombreuses personnes ont encore une grande confiance dans la sécurité des communications mobiles. Ainsi, l’une des différences les plus importantes entre le smishing et le phishing réside dans notre sensibilité aux attaques.

Les taux de clics sur les URL dans la messagerie mobile sont jusqu’à 8 fois plus élevés que ceux des e-mails, ce qui augmente considérablement les risques qu’un lien malveillant soit consulté lorsqu’il est envoyé par SMS ou par une autre messagerie mobile. Cette réactivité demeure même quand des services comme WhatsApp et Messenger ont remplacé les SMS comme moyen de communication textuelle mobile.

Des attaques mobiles via un lien à cliquer

Lors d’une attaque mobile, les escrocs proposent des liens à cliquer par rapport aux pièces jointes, que l’on trouve dans un email. Les messages mobiles ne sont pas un moyen efficace d’envoyer des pièces jointes malveillantes car de nombreux appareils limitent le chargement et les services de messagerie limitent la taille des pièces jointes. Dès lors, la plupart des attaques mobiles utilisent des liens intégrés, même lors de la distribution de logiciels malveillants tels que FluBot qui s’est propagé au Royaume-Uni et en Europe en 2022. En comparaison, 20 % à 30 % des attaques par e-mail comportent toujours des pièces jointes malveillantes.

Les numéros de téléphone personnels exposent également des informations de localisation sous la forme d’un indicatif régional. Cela peut amener d’autres opportunités de personnalisation basées sur l’emplacement et la langue qui ne sont pas présentes dans une adresse e-mail. De même, les personnes qui reçoivent un message mobile d’un escroc ont une capacité limitée à voir comment le SMS a été acheminé, car elles ne voient que le numéro à partir duquel il semble avoir été envoyé. Même si les numéros de téléphone portable et les adresses e-mail peuvent être masqués, les en-têtes d’e-mail contiennent des informations beaucoup plus détaillées sur la manière dont un message a été acheminé vers le destinataire et peuvent lui permettre de repérer un message malveillant.



Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *