Votre anti-phishing ne protège pas la cible N° 1 : le mobile.

 

Une campagne intelligente de phishing via SMS a été repérée il y a quelques semaines.

 

Dans ce scénario, l’attaquant envoie un message demandant à l’utilisateur s’il venait de lancer une procédure de récupération de mot de passe sur Gmail et l’invitant à répondre avec « STOP » s’il n’était pas à l’origine de la demande.

 

Lorsque l’utilisateur répond « STOP », il reçoit un nouveau message dans lequel l’attaquant lui demande confirmer les 6 chiffres du code permettant de réinitialiser le mot de passe.

 

Picture1

Google utilise cette forme de second facteur d’authentification afin de maintenir les hackers loin de votre compte, mais cette même méthode a été utilisée dans le but contraire.

 

Au fur et à mesure que ces attaques prolifèrent, elles deviennent de plus en plus sophistiquées et il devient de plus en plus difficile de s’en prémunir.

 

Il s’agit là d’un excellent exemple d’une tentative de phishing où la victime est directement amenée à faire quelque chose au profit de l’attaquant. Et le seul moyen de s’en prémunir est l’éducation, en apprenant aux utilisateurs de vérifier avant de faire confiance.

 

Toutefois, la majorité des attaques visant les mobiles implique du social engineering dont le but est de pousser l’utilisateur à cliquer sur un lien ou à installer un malware / une application.

 

En effet, un récent rapport de Lookout révèle que depuis 2011, la fréquence à laquelle les utilisateurs reçoivent et cliquent sur un lien de phishing a augmenté d’environ 85% d’année en année.

 

Une telle augmentation est plus qu’alarmante et se justifie par le fait que le mobile se trouve au cœur de nos usages, que ce soit dans un cadre professionnel ou personnel. Les hackers ne ciblent plus seulement les mobiles pour des identifiants « personnels » mais aussi pour accéder aux identifiants et données professionnels.

 

De nos jours tout le monde dispose d’un mobile, et qu’il soit fourni par l’entreprise ou acquis par l’utilisateur ne change pas réellement la manière avec laquelle il est utilisé (les déploiements sur le modèle COBO se font de plus en plus rares car trop restrictifs en termes d’usages et laissent place depuis plusieurs années au modèle COSU pour les usages restreints ou aux modèles COPE et B/CYOD pour les usages où l’utilisateur dispose d’une liberté « certaine » voir « totale »).

 

Photos personnelles (ou professionnelles), réseaux sociaux, données de clients et autres rapports financiers résident sur le même appareil. WhatsApp se trouve à côté de Salesforce et Tinder juste en dessous de Concur. Ce changement a ouvert une nouvelle fenêtre d’opportunité au crime, où les frontières et les solutions traditionnellement mises en œuvre par les entreprises sont la plupart du temps incapables d’agir et de défendre du simple fait que les mobiles sont connectés par définition depuis le réseau extérieur. Il est à présent plus facile (et lucratif) pour un hacker de cibler un mobile sans protection plutôt que de s’attaquer à un PC.

 

La sécurité traditionnelle ne protège pas contre les attaques de phishing visant des mobiles :

 

La sécurité traditionnelle se basant sur des gateways et des firewalls de nouvelle génération ne protège pas votre organisation de manière adéquate contre le phishing sur mobile car ce dernier opère en dehors de votre périmètre sécurisé.

 

En effet, ces approches « traditionnelles » filtrent et écartent des potentiels emails de phishing et des URLs malicieuses avant même que cela n’arrive sur le serveur de messagerie. Cependant, la messagerie professionnelle n’est plus le vecteur d’attaque primaire des compagnes de phishing. Celles-ci visent d’autres vecteurs non protégés tels que les SMS, les réseaux sociaux et autres applications de messagerie (mail ou instantanée) dont l’organisation ne contrôle pas le backend ou la sécurité et que les utilisateurs consomment au quotidien.

 

Sans une protection sérieuse contre le phishing sur mobile, vous laissez un véritable boulevard sur lequel des hackers pourront se promener et tenter de piéger vos utilisateurs.

 

N’oublions pas que la quasi-totalité des attaques visant des mobiles commence par un simple lien. C’est d’ailleurs de cette manière que des malwares comme Pegasus ou Dark Caracal ont pu pénétrer des smartphones en un simple clic puis qu’un utilisateur est amené à installer et truster un certificat root et finalement c’est ainsi qu’un utilisateur est amené à sideloader une application de type spyware.

 

Dans notre prochain article, nous démontrerons à quel point il est facile qu’un utilisateur se fasse piéger par un simple SMS ou message WhatsApp, en s’appuyant sur des démonstrations concrètes.

 

AiM est présent dans le monde de la mobilité depuis plusieurs années maintenant et il nous est apparu fondamentale de compléter notre offre par une solution de sécurité complète. Voici deux ans maintenant que nous avons mis en place un partenariat fort et stratégique avec la société Lookout. Comme mentionné ci-dessus, nous vous détaillerons également comment cette solution Lookout peut vous aider à vous prémunir de ce type de d’attaques et plus encore.

 

En attendant, nous vous laissons avec cette vidéo intéressante et nous réjouissions de recevoir vos commentaires ou questions :