Etre victime d’une escroquerie par phishing est suffisamment pénible. Mais lorsque les cybercriminels conservent les données de votre compte volé sur un site rempli de failles de sécurité, de sorte que tout le monde puisse y accéder, c’est remuer tout simplement le couteau dans la plaie.
Des experts des SophosLabs sont tombés sur un tel site lors d’une enquête menée sur une campagne de phishing qui imitait le site de mobile.de, le plus grand site en ligne de vente de véhicules en Allemagne.
Ceux qui géraient le site de phishing en question ont laissé leur répertoire ouvert à navigation, permettant à quiconque y ayant accès de voir les identifiants et les mots de passe des comptes volés. Il en résulte que les mots de passe volés par le premier groupe de cybercriminels ont déjà été volés de nouveau par quelqu’un d’autre.
Que s’est-il passé ?
La campagne de phishing sur laquelle SophosLabs a enquêté était un cas classique du phishing par SMS, le composant du service de messagerie texte présent sur la plupart des téléphones mobiles. Bien que les gens aient amélioré leurs comportements pour ne plus être facilement victime des escroqueries par phishing traditionnelles qui arrivent par email sur les ordinateurs portables et les ordinateurs de bureau, ils restent sensibles au phishing par SMS. Les téléphones ont peu ou pas de sécurité anti-phishing, à l’exception de ce qui est fourni par le fabriquant, comme Safe Browsing sur Chrome. Et les messages arrivent sur des écrans plus petits, ce qui rend plus difficile le repérage d’une falsification.
Dans le cas de cette campagne de phishing, les utilisateurs qui ont cliqué sur le lien dans le message SMS ont été emmenés sur une fausse page de connexion qui ressemblait à ceci :
Les utilisateurs qui ont entré leurs identifiants ont été dirigés vers le site officiel :
Lorsque les experts cybersécurité du SophosLabs ont retracé l’activité du site de phishing où les identifiants volés étaient stockés, ils ont découvert que le répertoire racine était ouvert à tous.
À un moment donné, le répertoire contenait 210 comptes. Il peut s’agir néanmoins de la partie émergée de l’iceberg, car c’était l’un des nombreux sites probablement utilisés dans cette attaque.
Quoi faire ?
La clé pour ne pas se retrouver sur l’un de ces sites exposés, est d’éviter d’être victime de cette campagne de phishing dès le départ. La première étape pour bâtir sa propre défense est d’être, plus conscient que les malwares mobiles sont de plus en plus dangereux et que toutes les règles pour se protéger contre le phishing doivent être appliquées à ces petits appareils.
Sophos protège maintenant les clients vis-à-vis de cette campagne de phishing. Mais certains conseils supplémentaires sont tout de même de rigueur :
- Ne soyez pas trompé par les noms de domaine tout simplement parce qu’ils commencent par le texte que vous vous attendez à voir apparaître, c’est la partie à droite de l’URL qui est importante.
Par exemple, Sophos possède sophos.com, ce qui signifie que nous pouvons utiliser tous les noms de sous-domaines qui se terminent par cette chaîne de caractères, tels que partners.sophos.com, nakedsecurity.sophos.com, etc. De nombreux navigateurs délibérément mettent en surbrillance le texte à droite, pour vous rappeler d’y prêter une attention particulière.
- Si l’on vous demande de fournir des données personnelles comme votre adresse et votre numéro de carte de crédit au niveau d’une page web non chiffrée, ne donnez aucune information !
Les cybercriminels peuvent facilement obtenir des certificats pour des sites de type HTTPS, de sorte que la présence d’un cadenas au niveau de la barre d’adresse n’indique pas que vous êtes sur le bon site forcément. Mais l’absence d’un cadenas sur une page qui vous demande votre carte de crédit sera toujours un très mauvais signe, et ce, même si c’est le bon site ! (pourquoi faire confiance à une entreprise qui ne prend même pas les précautions les plus élémentaires pour sécuriser vos données personnelles ?).
- Signaler des escroqueries et des SMS malveillants comme ces derniers à votre opérateur de téléphonie mobile.
L’existence de signalements réels et de véritables plaintes en provenance “de la vie réelle” permettent au législateur de prendre des mesures contre les cybercriminels qui pourraient sinon s’en tirer à bon compte. Certaines fraudes sont sur le fil en matière de légalité, et c’est effectivement un consensus au niveau de la communauté qui aidera les législateurs à redéfinir les limites des comportements acceptables concernant les messages texte.
Billet inspiré de Phishing campaign spoofs online auto brand, exposes stolen passwords, sur Sophos nakedsecurity.