Le smishing et le vishing, la nouvelle tendance des hackers
Dans l’univers de plus en plus complexe de la cybercriminalité, les voleurs courent souvent plus vite que les gendarmes. Et l’épilogue n’est presque jamais comme dans les films américains, où ce sont toujours ceux du bon côté qui gagnent. Ici, dans la « vraie » réalité du monde cybernétique, les pirates sont plus malins que le diable et trouvent le plus souvent le moyen de passer outre les vérifications et les contrôles.
Parmi les découvertes du piratage informatique, il y a deux variantes insidieuses sur le thème du phishing : le vishing (phishing vocal) et le smishing (attaques par SMS). Selon le dernier rapport trimestriel de Threat Trends Intelligence, d’Agari et de PhishLabs :
- les attaques par vishing ont augmenté de près de 550 % entre le premier trimestre 2021 et le premier trimestre 2022
- celles par smishing de plus de 700 % au cours des deux premiers trimestres de 2021. De même, selon une recherche de EarthWeb, cette année, au cours d’une seule semaine du mois d’avril, les criminels ont envoyé 2 649 564 381 messages de smishing.
Les raisons de ces nouvelles stratégies sont diverses : en premier lieu, les filtres anti-spam désormais très répandus des e-mails qui, avec une sensibilisation accrue et plus répandue des utilisateurs, de plus en plus méfiants et attentifs avant de cliquer sur des liens suspects, renforcent la barrière capable de bloquer les messages de phishing.
À cela s’ajoute le fait que, contrairement aux e-mails, les messages texte affichent un taux d’ouverture très élevé et que la plupart d’entre eux sont ouverts dans les 15 minutes. En outre, les opérateurs téléphoniques n’ont pas encore mis en place de méthodes de filtrage des messages adaptées au niveau de risque élevé. Enfin, il faut tenir compte de la grande facilité avec laquelle un cybercriminel parvient aujourd’hui à récupérer des contacts téléphoniques.
Une fois ces tâches faciles résolues, il ne reste plus à l’escroc que la partie la plus amusante : inventer une histoire qui sert de piège au destinataire du message. Il peut s’agir d’un problème de compte courant, de carte de crédit, d’un gain, d’un prix, d’un voyage ou d’une loterie, ou encore de l’offre de conseils gratuits. Bref, tout ce qui peut amener de manière convaincante le malheureux à cliquer sur un lien malveillant et à livrer toutes ses données aux criminels.
Tous les chemins mènent au même endroit
Il y a quelques mois, la police postale italienne a signalé qu’elle prêtait une attention particulière à une campagne de smishing qui frappe les courtiers de plusieurs établissements bancaires. L’escroquerie commence par un SMS apparemment issu du « système IoSicuro ». Dans le message, l’utilisateur malchanceux est averti d’un mouvement anormal sur son compte courant et invité à cliquer rapidement sur le lien pour vérifier l’opération. Inutile de dire que le lien le redirige vers un site clone de la banque. Pour y accéder, vous devez entrer vos identifiants de banque en ligne et votre numéro de téléphone, fournissant ainsi aux cybercriminels tout ce dont ils ont besoin.
Les thèmes abordés sont parmi les plus fantaisistes. Aux États-Unis, en 2020, près de 60 millions d’Américains ont perdu de l’argent pour un total d’environ 30 milliards de dollars en raison d’escroqueries par téléphone et SMS. Les criminels offraient des kits gratuits pour le test Covid, ou proposaient une aide gratuite pour remplir des documents, tels que la demande d’allocation de chômage, ou se faisaient passer pour des organismes de bienfaisance qui collectaient des fonds pour aider les personnes touchées par la pandémie.
En bref, les histoires peuvent être les plus différentes, mais ce sont des chemins qui mènent tous au même point : la fourniture des données des utilisateurs ou l’installation d’un logiciel malveillant sur l’appareil.
Si le smishing est dangereux, le vishing est encore plus sournois
Le vishing est encore plus sournois car au bout du fil, il y a une voix qui semble très convaincante et qui appelle d’un numéro connu. Un numéro « familier » qui peut être celui de la banque, de la compagnie d’assurances ou même de l’ASL.
Avec la technologie disponible aujourd’hui (par exemple la VoIP), les criminels peuvent en effet créer plus de numéros avec des préfixes locaux (auxquels les gens sont beaucoup plus susceptibles de répondre) ou qui semblent presque identiques à ceux d’entreprises ou d’organisations existantes.
Avec la même facilité avec laquelle ces numéros sont créés, ils peuvent être supprimés, ce qui rend la recherche de l’escroc très difficile. Le call-spoofing (l’utilisation de fausses informations sur l’ID de l’appelant pour masquer la véritable source d’un appel entrant) est également une opération que les escrocs utilisent régulièrement pour se cacher derrière un ID d’appelant apparemment réel et légitime.
Par exemple, les criminels qui veulent voler un compte bancaire ou des données d’accès utilisent souvent le call spoofing pour faire semblant d’appeler depuis une banque locale ou une société de carte de crédit bien connue. Il est beaucoup plus probable que la victime réponde à un appel si l’ID indique qu’il s’agit de sa banque ou d’un établissement de santé que d’un numéro inconnu.
Après avoir répondu, le malheureux, persuadé de parler à un opérateur de sa banque ou de sa compagnie d’assurances, ou à son patron, ne se gênera pas pour révéler ses données les plus personnelles ou effectuer des opérations très délicates.
Par exemple, les journaux ont enregistré au cours des dernières années des histoires de voix reproduites avec l’intelligence artificielle et qui, se faisant passer pour des PDG d’entreprises, ont demandé à leurs subordonnés de déplacer de grosses sommes d’argent. De toute évidence, l’argent, beaucoup d’argent, a fini sur le compte des bandits.
Investir dans la formation et la sensibilisation n’est plus une option
C’est une guerre difficile à gagner. Les pirates sont de plus en plus en avance sur un utilisateur moyen et cette prise de conscience les rend encore plus invincibles.
Mais c’est une réalité à laquelle il faut obligatoirement faire face et qui exigera dans les années à venir de plus en plus d’investissements en termes d’énergie, notamment en matière de formation et de connaissances.
Ce qui est certain, c’est qu’on ne peut plus se passer, surtout au niveau de l’entreprise, d’une formation actualisée et capable de suivre les évolutions rapides de la piraterie. Cette dernière ne semble pas vouloir cesser d’inventer de nouvelles façons d’escroquer les entreprises, les administrations, les sociétés et les particuliers.
La seule chose qui peut l’arrêter est de se confronter à des utilisateurs préparés et capables de répondre aux attaques avec autant de ruse. Étant donné que c’est toujours le facteur humain qui permet aux pirates de s’en sortir, la préparation, la sensibilisation et la posture numérique correcte de chaque utilisateur représentent la barrière la plus efficace pour mettre un terme au tsunami du risque informatique qui semble inarrêtable. Mais ce n’est pas le cas.
En savoir plus sur les parcours de formation de Cyber Guru
