Ingénierie sociale : les cybercriminels attaquent là où ils ne sont pas attendus, appels vocaux et SMS

Pour arriver à leurs fins et surprendre leurs victimes potentielles, les cybercriminels remettent au goût du jour d’anciennes arnaques téléphoniques, comme celle du support technique. Ils recourent aussi aux SMS pour cibler des populations crédules ou peu technophiles.

La multiplication des attaques d’hameçonnage par courriel ne semble plus avoir autant d’effet qu’auparavant. Elle a permis aux utilisateurs de s’aguerrir et de les détecter avec plus d’efficacité. Par ailleurs, les campagnes de sensibilisation et les publications sur le sujet ont également servi à attirer l’attention sur les détails qui trahissent les tentatives d’hameçonnage et former les utilisateurs, qui sont devenus plus méfiants. Et même s’il reste encore du travail pour que les utilisateurs soient les mieux formés possible, les cybermalfaiteurs commencent à ressentir les effets prophylactiques sur leurs campagnes d’hameçonnage.

Le choix qui s’offre à eux est alors de passer à des attaques plus sophistiquées, donc couteuses et qui nécessitent du temps, de la patience, et du codage. Il semble, selon les derniers rapports des entreprises de sécurité, que beaucoup de cybermalfaiteurs n’ont pas, ou ne veulent pas, prendre le temps de mettre en place ces types d’attaques sophistiquées. Ils basculent alors vers des approches, toujours aussi directes, mais qui restent simples à mettre en œuvre. Et quoi de plus rapide et bon marché que de reprendre les bonnes vieilles méthodes à l’ancienne : l’arnaque par téléphone ou vishing, et les SMS frauduleux ou smishing. Deux études sont venues récemment mettre en évidence ces tendances.

L’arnaque au support technique remise au goût du jour

Les experts en cybersécurité de Check Point ont récemment alerté contre la multiplication des attaques d’hameçonnage vocal, dans lesquelles les cybermalfaiteurs ciblent des individus et tentent de les amener à divulguer des informations de connexion ou d’autres informations sensibles lors d’un appel. À tel point qu’elles ont suscité une alerte spécifique du FBI et de la Cybersecurity and Infrastructure Security Agency aux États-Unis, qui ont publié un avertissement commun.

Pour arriver à leurs fins, les assaillants utilisent plusieurs scénarios, comme se faire passer pour un service client ou un support technique. Ils vont jusqu’à combiner les messages pour donner plus de crédibilité à leurs arnaques comme dans la célèbre escroquerie au support technique. Dans cette arnaque, les personnes reçoivent une alerte sur leur PC les informant que leur ordinateur a été piraté ou infecté par un logiciel malveillant et qu’une assistance téléphonique professionnelle est nécessaire pour résoudre le « problème ». Les utilisateurs reçoivent également des appels téléphoniques de prétendus représentants de l’assistance technique de fournisseurs de logiciels réputés, qui prétendent avoir détecté des logiciels malveillants sur la machine de la cible. Ils tentent alors de convaincre l’utilisateur de télécharger un logiciel d’accès à distance sous prétexte de l’aider à régler l’incident.

L’agresseur installe alors un véritable logiciel malveillant ou un outil d’accès à distance sur la machine de la victime, en plus de demander un paiement pour le service, recevant ainsi également les informations financières de la victime. Les cibles habituelles de ces escroqueries sont des personnes âgées qui peuvent être moins douées pour la technologie. Les adultes de plus de 60 ans sont environ cinq fois plus susceptibles de déclarer avoir perdu de l’argent à cause de ces escroqueries.

Des pirates consciencieux qui s'informent sur leur cible

Pour illustrer un autre type d’attaques Check Point cite un récent article publié par KrebsOnSecurity, qui parle d’un groupe professionnel de cybercriminels qui propose des attaques par hameçonnage vocal à la demande. Le groupe est au service de clients qui cherchent à accéder à des entreprises spécifiques. Ils ciblent les télétravailleurs, en essayant d’obtenir leurs identifiants VPN pour accéder au réseau de l’entreprise. L’attaque combine un appel téléphonique individuel avec des sites d’hameçonnage crédibles où l’utilisateur est tenu de remplir ses informations d’identification et, si nécessaire, ses codes d’authentification à facteurs multiples (MFA).

Avant de passer leurs appels vishing aux employés, les pirates informatiques compilent des informations sur leurs cibles à partir de profils publics sur les plateformes de médias sociaux — principalement LinkedIn — afin de créer une personnalité convaincante lorsqu’ils passent leurs appels et se présentent comme des représentants du service d’assistance informatique de l’entreprise.

Les attaques par smishing et comment les contrer

De son côté, Sophos a mis en garde contre des campagnes de smishing, une technique d’ingénierie sociale par envoi de SMS, durant laquelle les cybercriminels lancent des attaques massives contre un grand nombre d’utilisateurs, se faisant passer pour un interlocuteur légitime, comme une banque, un réseau social, une administration publique ou une application communément utilisée.

« Parmi celles-ci, les banques et les entreprises de livraison ont été utilisées comme “appâts”, explique Sophos, mais certaines ont également débouché sur le vol de comptes sur WhatsApp ou d’autres réseaux sociaux, sur lesquels l’utilisateur est censé confirmer un paiement à l’aide d’un code qu’il vient de recevoir ». L’éditeur de cybersécurité propose 4 recommandations afin de se prémunir contre les attaques par smishing sur les appareils mobiles :

1. ne pas se fier à l’expéditeur : les cybercriminels peuvent changer le nom de l’expéditeur d’un SMS en ce qu’ils souhaitent. Même si certaines mesures ont été développées pour contrecarrer ces fraudes, celles-ci ne sont pas encore en application. Aussi, dans le doute, mieux vaut ne pas se fier à ce qui est indiqué dans le nom de l’expéditeur ;
2. méfiance lorsqu’une action est requise : tout SMS qui requiert une action rapide de la part de l’utilisateur doit être considéré comme suspect. Les notifications par SMS (« votre colis a bien été expédié ») sont une chose ; les messages qui recommandent une action et s’accompagnent d’une forme de menace, comme l’annulation d’une commande, d’une carte ou d’un compte, en sont une autre ;
3. les messages pressants ou urgents sont suspects : outre l’approche consistant à se faire passer pour une autorité représentant un service crédible (service postal, banque, etc.), une technique très répandue en ingénierie sociale consiste à envoyer un message pressant. Ceux-ci pressent l’utilisateur pour agir immédiatement, réduisant ainsi son temps de réflexion et l’empêchant d’opérer les vérifications adéquates ;
4. protéger son appareil mobile : disposer d’un système de protection sur un appareil mobile fournit une couche de sécurité supplémentaire permettant de parer ce type d’attaque. Des solutions de protection gratuites disponibles sur le marché fournissent une protection antimaliciels pour les appareils mobiles, un contrôle de la navigation afin de bloquer l’accès aux sites Internet malveillants et un contrôle des SMS frauduleux.