Attention au SMiShing !
Publié par Larys sur 8 avr 2007
Après les logiciels espions (spywares) et la technique du hameçonnage (phishing), les cyber-criminels ont développé une nouvelle technique appelée SMiShing dont la cible est votre téléphone portable. Faites-donc très attention aux SMS que vous recevrez !
Source : Le journal du Net:
Après le phishing, qui désigne les arnaques sur Internet consistant à envoyer un faux email à un internaute et à le rediriger vers un site Internet piégé afin de lui dérober des données sensibles (identifiants, numéros de compte ou de sécurité sociale, etc.), la VoIP avait elle aussi fait les frais d’attaques.
Occasion d’un nouveau néologisme, le vishing, contraction de VoIP et de phishing, inaugurait le hameçonnage recourant à la téléphonie sur IP. Dans ce mode d’attaque, l’internaute, après réception d’un email, n’était plus redirigé vers un site Internet, mais invité à composer un numéro de téléphone. Un serveur pouvait également composer aléatoirement des numéros de téléphone fixe avant d’orienter les individus vers un serveur vocal frauduleux.
Quel que soit le mode opératoire employé par le pirate, la finalité demeure la même : abuser et voler des informations sensibles. Le SMiShing ne fait ici pas exception à la règle, sa seule particularité étant d’employer un SMS.
“La définition que l’on pourrait en donner serait celle du phishing aidé par la téléphonie mobile.”, le définit François Paget, chercheur chez McAfee.
“On est plus à l’imaginer qu’à le voir réellement. Mais nous pensons que de la même manière que pour le PC, le risque de capture d’informations confidentielles est amené à se développer sur mobile. Ce que nous pressentons c’est plutôt une attaque dite hybride, mettant à la fois en œuvre la téléphonie mobile et le monde du PC conventionnel.”, poursuit-il.
Des utilisateurs islandais et australiens ont ainsi reçu un SMS les avertissant qu’ils devraient s’acquitter de deux dollars par jour pour leur inscription à un site de rencontre. Le message leur proposait toutefois généreusement de se désinscrire grâce un lien hypertexte. Dans l’hypothèse où un individu se rendait effectivement à cette adresse par le biais d’un PC, un malware s’invitait sur son poste afin de grossir un réseau de PC zombies, ou botnet.
Mais le risque existe également dans l’autre sens. “Un virus, cette fois sur PC, avait en plus des capacités standards, celle de générer aléatoirement des numéros de téléphones portables auxquels il faisait parvenir un SMS invitant à télécharger un logiciel antivirus, qui bien entendu n’en était pas un“, explique François Paget.
La question se pose toutefois de savoir si le SMiShing est une réelle menace ou une forme de buzz marketing pour tirer le marché de la sécurité sur les périphériques mobiles. Une étude de VisionGain évalue la dépense mondiale en solutions de sécurité pour téléphone portable à 12 milliards de dollars en 2007. De quoi en effet attiser les convoitises. Les éditeurs d’antivirus ont d’ailleurs commencé à se positionner sur ce marché.
Ce type d’attaques demeure encore peu répandu à l’heure actuelle. Néanmoins, avec le développement de la mobilité, à la fois auprès du grand public et en entreprise, les réseaux mobiles représenteront tôt ou tard un vecteur d’attaque suffisamment rentable pour les pirates.
Pour le chercheur de McAfee, “on en est encore aux balbutiements, ce qu’on appelle un proof of concept. Ces virus sont souvent l’œuvre de personnes qui s’essayent à manipuler du code ou à des nouvelles techniques, des scripts kiddies. Toutefois, d’ici 6 mois à 1 an, les pratiques vont probablement se professionnaliser comme c’est actuellement le cas concernant les PC. Et de la même manière, il ne s’agira pas nécessairement de virus, mais plutôt de spams, de chevaux de Troie et de phishing”.
“On constate un regain d’intérêt pour les mobiles. Pour vous donner un chiffre, on a dénombré depuis le mois de mars, un nouveau programme malveillant par jour. Souvent ce sont des redites de programmes existants et parfois ils sont plus recherchés”, précise-t-il également.
Si les utilisateurs sont peu à peu sensibilisés à la sécurité sur un poste de travail, cela est encore loin d’être vrai en ce qui concerne les appareils mobiles, ou même ne serait-ce que les ordinateurs portables.
Toutefois, la sécurité ne repose pas uniquement sur la variable technologique. Qu’il s’agisse du phishing, du vishing ou désormais du SMiShing, la faiblesse exploitée est avant tout humaine. L’expert en sécurité Bruce Schneier parle ainsi d’attaque sociotechnique.
Les méthodes des pirates sont empruntées au social engineering. Cela consiste à exploiter des ressorts psychologiques inhérents à l’être humain pour accroître l’efficacité des attaques. La protection et la sensibilisation des utilisateurs doit par conséquent aller bien au-delà des seuls outils de sécurité.
4 avr 2007 à 4:59
Quand je connais pas, je ne réponds pas ! Règle d’or chez moi, même si parfois c’est un peu excessif (LOL)!
8 avr 2007 à 8:43
Elémentaire, ma chère Maeve !
On n’est jamais trop prudent. Malheureusement, il y en a toujours certains qui ne se méfient pas et qui tombent dans le panneau - je le sais de par mon expérience au support technique de MSN. Je ne compte plus le nombre de malheureux qui reçoivent un fichier ou un lien et QUI CLIQUENT DESSUS sans se poser de question. Et bam ! Ou c’est le PC qui plante, ou il tombe entre les mains d’un pirate, ou tous les fichiers sont détruits !
Les gens tendent souvent à oublier que leur meilleur système de sécurité est avant tout eux-même, ou plus précisément leur propre jugeotte. Mais la technologie a rendu l’homme tellement paresseux qu’il préfère les machines ou les logiciels tout faire pour eux, et pareil, je le sais de par mon travail. Je reçois plein de mails de gens qui accusent tout de suite MSN dès qu’il leur arrive une merde et qui râlent dès qu’on leur demande de changer les paramètres de leur navigateur ou de vérifier leur anti-virus, ou autre chose - bref, dès qu’on leur demande de FAIRE QUELQUE CHOSE. Et eux de nous lancer : “Mais il a rien, mon PC ! C’est de vous qu’il vient le problème !” Inquiétant…