Le phishing : Pourquoi est-ce aussi efficace sur mobile ?

Posted by Roxane Suau on 2 juil. 2020 10:38:20

C'est probablement l'une des attaques les plus populaires de notre époque numérique mais, année après année, le phishing (ou hameçonnage en français) est toujours en haut du classement des types d'attaques les plus courants.

Selon Wikipédia : « L’hameçonnage consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit… »

 

phishing-1

 

Avec le déploiement à grande échelle de terminaux mobiles pour équiper les collaborateurs, les organisations sont devenues une cible encore plus profitable pour les campagnes de phishing. Usages professionnels et personnels, temps d’utilisation, manque d’attention... tous ces facteurs ont créé un nouveau terrain de jeu propice pour les cybercriminels.

Dans cet article, nous présenterons la différence entre le phishing sur ordinateurs et terminaux mobiles, les nouveaux vecteurs d'attaques et les raisons pour lesquelles les organisations sont plus que jamais menacées.

 

Phishing mobile et PC : Quelle est la différence ?

Le phishing, qui existe depuis les années 90, n'est pas un phénomène nouveau. L’époque des e-mails douteux présentant des éléments mal alignés, des adresses d'expéditeurs incompréhensibles, est maintenant révolue. Si l'on se concentre sur les e-mails, qu'ils soient reçus sur ordinateur ou sur mobile, la différence entre le vrai mail et celui de phishing est presque invisible dans la plupart des cas. Un grand avantage sur PC, est qu’il est facile de survoler un lien pour voir où il redirige. Cette simple étape est plus délicate à réaliser sur un terminal mobile et si vous n'êtes pas assez vigilant, vous pourriez probablement cliquer sur le lien malveillant.

Avec l'omniprésence des smartphones et des tablettes, outre les nouveaux vecteurs qui sont apparus (différents types d'applications, SMS...), le facteur le plus important est que nos usages et nos habitudes ont évolué. En jonglant entre les tâches professionnelles et la vie privée, en étant pressé entre deux réunions... nous sommes moins attentifs à ce que l'on fait sur notre téléphone.

 

Les nouveaux vecteurs d'attaque

Avec les terminaux mobiles, un ensemble de nouveaux vecteurs de menaces sont apparus. Nous allons en examiner deux de plus près.

Smishing

Les applications de SMS et MMS classiques existaient bien avant les applications de messagerie que nous utilisons aujourd'hui (Facebook Messenger, WhatsApp, Signal...). Pour certains, elles peuvent être dépassées, mais un SMS entrant est souvent quelque chose que l’on regarde de près.

Ce vecteur peut être considéré comme inoffensif à première vue, mais les SMS posent beaucoup de problèmes. Tout d'abord, les numéros de téléphone peuvent facilement être usurpés afin que l'utilisateur ne soit pas instantanément soupçonné comme cela pourrait être le cas avec une adresse d'expéditeur d'e-mail étrange. De plus, le filtrage des messages et la détection du spam sont pratiquement inexistants, ce qui signifie que tout type de message, quel qu'en soit le contenu, est directement affiché sur le téléphone d'une personne.

En outre, le contenu d'un message est souvent très court et direct. Si vous attendez une livraison de colis par exemple et qu'il vous arrive de recevoir un texte avec un lien raccourci disant que vous devez mettre à jour certaines informations ou que vous pouvez suivre votre colis, vous pourriez facilement être piégé.

Au-delà du courrier électronique

Contrairement aux années passées, l'e-mail n'est plus le principal canal de diffusion des campagnes de phishing. Aujourd'hui, différentes catégories d'applications mobiles se partagent le plus grand nombre de vecteurs d'attaque.

Source: Verizon Mobile Security Index 2020 Report

 

Si l'on regarde le graphique ci-dessus, les courriels ne représentent plus qu'une petite partie des tentatives de phishing sur mobile. Le principal problème est que, si de nombreuses organisations ont mis en place différentes solutions de sécurité pour filtrer et bloquer les attaques par e-mail, peu d'entre elles ont pris en compte le fait que les canaux d’attaque ont changé et qu'ils doivent être sécurisés.

Examinons maintenant de plus près les applications sociales pour avoir une idée de leur fonctionnement. Vous avez probablement déjà reçu dans le passé un message étrange sur Facebook provenant d'un membre de votre famille ou d'un ami qui vous dit de voir ce lien ou de regarder l'image jointe. Dans la même lignée, les robots ont également spammé les boîtes de réception des réseaux sociaux avec de faux messages provenant d'entreprises célèbres.

Les escroqueries de ce type sont aujourd'hui anciennes et courantes, mais vous pouvez en trouver d'autres plus vicieuses sur les réseaux sociaux, par exemple sur Twitter.

Il n'est pas rare de voir des personnes tweeter à destination du support d'une entreprise pour obtenir de l'aide sur quelque chose. Si, peu de temps après, vous recevez une réponse d'un compte avec le bon logo, le bon nom de société, etc., vous ne ferez probablement pas vraiment attention et vous ne vous demanderez pas si le compte est le bon.

 

Le phishing met votre organisation en danger

Avec le passage au télétravail pendant la pandémie, la frontière entre nos usages professionnels et personnels s'est estompée et nous pouvons avoir tendance à être moins prudents, surtout lorsque nous utilisons nos smartphones. Plus inquiétant encore, les utilisateurs qui ont cliqué une fois sur un lien de phishing ont plus de chance de se laisser duper à nouveau.

 

image-Jul-01-2020-02-16-28-89-PM-1

Source: Verizon Mobile Security Index 2020 Report

 

En 2019, 32 % des fuites de données étaient liées au phishing, menant à des conséquences désastreuses pour l'organisation : fuite de données des utilisateurs, mauvaise presse, coût (3,92 millions de dollars en moyenne).

Avec près de 1,5 million de sites de phishing créés chaque mois, dont 68 % utilisant le protocole HTTPS, il est difficile d'esquiver toutes les tentatives, surtout pour les personnes qui ne sont pas au courant de la situation.

Si la sensibilisation et l'éducation au phishing sont un bon moyen de réduire le risque, seule une solution de détection en temps réel sera en mesure de protéger correctement l'organisation. Le mobile a ouvert de nouvelles voies pour piéger les utilisateurs et, plus généralement, il réduit leur attention. La solution de protection mobile doit empêcher toutes les typologies d'attaques de phishing (courriels, SMS, applications, ...) pour sécuriser pleinement l'environnement de l'entreprise.

Enfin, les modalités de protection contre le phishing sont un point non négligeable lors de la mise en œuvre d’une solution. Une approche simple et certes efficace de redirection des flux mobiles soulève des enjeux de dépendance et de respect de la vie privée. Il est donc impératif d’avoir une démarche en adéquation avec les besoins et les contraintes de l’organisation.

 

Topics: Sécurité Mobile, Sécurité des Applications Mobiles