Victime d’une faille de sécurité récente : attention vous êtes encore vulnérables !

La faille de sécurité de TalkTalk au Royaume-Uni et les mesures prises ont largement fait l’actualité. Par contre les conséquences d’une telle faille de sécurité sont beaucoup moins connues, tout comme le niveau d’implication de cybercriminels organisés.

Il semble que c’est exactement ce qui s’est passé dans l’affaire TalkTalk, à savoir une poignée de travailleurs indiens au sein d’un “contact center”, qui ont déclaré qu’ils avaient été embauchés spécifiquement pour persuader les clients TalkTalk de fournir leurs données. Ils faisaient partie d’une équipe de 60 personnes.

Il s’agissait en effet d’un ancien scam. Ils appelaient et prétendaient travailler pour TalkTalk, en suggérant qu’il y avait un problème avec l’ordinateur, et en persuadant le client d’installer un malware qui permettait alors aux criminels d’entrer dans le système et de mettre la main sur les détails bancaires et sur d’autres informations confidentielles. Le problème n’a pas été vérifié de façon indépendante, mais selon un rapport de la BBC il semble probable que cette historie soit authentique, et liée non pas à TalkTalk, mais à un de ses sous-traitants.

Que cette histoire soit réelle ou non (et il semble qu’elle l’est), il est certain que si des gens reçoivent des appels provenant de personnes prétendant qu’il y a un problème avec un ordinateur, il semble probable que seule l’entreprise en question (ils pourraient prétendre être de Microsoft, par exemple) soit à même de pouvoir apporter de l’aide.

Le conseil classique de Naked Security dans ce cas est de raccrocher quand l’un de ces appels vous parvient, et ce même s’il est tentant de faire marcher ou de se moquer de la personne appelant.

Nous incitons également les entreprises à mettre en place de meilleurs contrôles de sécurité. En effet, les banques ne demanderont jamais de mots de passe complets, par exemple, mais un de nos employés a dû appeler son FAI la semaine dernière et ils refusaient d’agir sans le mot complet, n’acceptant pas les lettres individuelles.

Nous avons parlé à Action Fraud, rattachée à la police de la ville de Londres, qui a publié une infographie avec des points pratiques en réponse au problème soulevé par le cas TalkTalk. Ils ont souligné qu’aucune entreprise officielle n’appellera “à froid” en demandant un accès à distance à votre ordinateur, ou des détails financiers. Il a ajouté :

Même si la personne qui appelle est en mesure de vous fournir des détails tels que votre nom complet, ne donnez pas de renseignements personnels ou financiers au cours d’un appel “à froid”.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Are you customer of a firm that’s been breached? Look out for more attacks, par Guy Clapperton, Sophos NakedSecurity.