Des chercheurs en sécurité avertissent les utilisateurs de Verizon d'une arnaque de smishing agressive
Le phishing a toujours été l'un des favoris des cybercrooks. Il y a plusieurs bonnes raisons à cela. Vous n'avez pas besoin d'avoir beaucoup de compétences techniques pour réussir une arnaque de phishing réussie, et même les campagnes à grande échelle ne nécessitent pas d'énormes investissements en termes d'argent et de temps. Pendant ce temps, malgré tous les avertissements, l'ingénierie sociale dans les e-mails est encore suffisante pour tromper les utilisateurs en cliquant sur des liens et en donnant des informations sensibles.
Le smishing est une variante du phishing qui s'adresse aux utilisateurs de téléphones portables et se fait par SMS. Les attaques par smishing sont loin d'être aussi courantes que les escroqueries plus traditionnelles, mais comme le montre une récente campagne ciblant les utilisateurs de Verizon, cette technique présente certains avantages distincts qui pourraient séduire bon nombre de cybercriminels.
Table of Contents
Des escrocs tentent de tromper les clients de Verizon de leurs données personnelles
L'escroquerie a été repérée et signalée par HowToGeek, et Chris Hoffman, rédacteur en chef du site Web, a décrit l'attaque par smishing comme "la plus sophistiquée à ce jour". Bien que cette déclaration puisse faire l'objet d'un débat, il ne fait aucun doute que les criminels ont réfléchi à l'opération.
Comme vous pouvez l'imaginer, l'attaque commence par un SMS, qui vous indique que "la sécurité de votre compte Verizon doit être validée". Si vous cliquez sur un lien, vous pourrez "valider votre compte et éviter que votre accès ne soit désactivé". Comme vous pouvez le voir, la grammaire est aussi maladroite que vous attendez de ce type d'attaque. Ce qui est un peu inhabituel, c'est que le lien que les utilisateurs sont invités à cliquer n'a pas été utilisé par un service de raccourcissement d'URL. Cela étant dit, si vous n'y regardez pas de trop près, vous pourriez être dupe de penser que cela vient vraiment du fournisseur de télécommunications.
Le lien décrit par HowToGeek a conduit à une page de phishing hébergée sur vwireless[.]xyz (qui est en panne au moment de la rédaction du présent document) et a été décrite comme "incroyablement convaincante". En effet, les captures d'écran semblent assez proches de l'original, et il n'y a pas d'erreurs grammaticales flagrantes, ce qui suggère qu'au lieu de créer les pages d'arnaque par leurs propres moyens, les escrocs ont utilisé un kit de phishing facilement disponible acheté sur les marchés souterrains.
Le faux site Web commence par demander votre numéro de mobile ou votre nom d'utilisateur et votre mot de passe. Après cela, on vous demande le code PIN de votre compte, et enfin, on vous dit que vous devez fournir des informations personnelles. La page vous indique que si vous entrez vos noms, adresse et code postal de facturation à cinq chiffres, vous aiderez Verizon à mieux protéger votre compte. Après avoir donné tous les détails, vous êtes redirigé vers le vrai site Web de Verizon.
La page de phishing ne vous permet pas de cliquer à moins d'avoir rempli tous les champs, mais lorsque les journalistes de HowToGeek l'ont testée, ils ont utilisé de fausses informations, ce qui montre que le site Web de l'arnaque ne valide pas les données en temps réel.
Les dommages potentiels sont assez importants
Si tout ce qui précède vous semble familier et si vous pensez que vous êtes peut-être tombé dans le piège, vous devez appeler Verizon et rectifier le problème immédiatement, car s'ils réussissent à prendre le contrôle de votre compte, les escrocs peuvent faire toutes sortes de ravages. Ils peuvent commander un nouveau smartphone et le créditer sur votre facture, et ils peuvent également effectuer une attaque d'échange de SIM contre vous. Si vous avez réutilisé le même mot de passe sur plusieurs sites Web, vous pouvez également être victime d'un bourrage d'informations d'identification et perdre également l'accès à d'autres comptes.
Dans l'ensemble, viser les clients de Verizon pourrait être très avantageux pour les escrocs, et avec leur choix d'opter pour le smishing plutôt que le phishing traditionnel, ils espèrent maximiser le nombre de victimes.
Smishing vs phishing: quel est le meilleur?
Le principal avantage de Smishing est que la victime est inévitablement sur son téléphone pendant l'opération. L'écran plus petit rend plus difficile la détection des signes révélateurs d'une arnaque. Comme nous l'avons déjà mentionné, à première vue, l'URL dans le message texte semble semi-légitime, et parce que l'espace d'écran est restreint, la barre d'adresse d'un navigateur mobile peut rester cachée la plupart du temps. À la suite de tout cela, vous êtes plus susceptible de ne pas réaliser que vous êtes à la mauvaise adresse.
Dans ce cas, choisir le SMS au lieu de l'e-mail de phishing traditionnel est un très bon appel car, en tant que fournisseur de télécommunications, Verizon est susceptible de vous contacter par SMS. Encore un autre facteur qui améliore les chances de réussite des escrocs réside dans le fait que, bien que les arnaques par phishing par e-mail existent depuis des années, le smishing est une tendance relativement récente, et moins de gens savent que le système a été adapté pour fonctionner via des messages texte.
Comme toujours, la meilleure défense contre de telles attaques est la prudence et la sensibilisation. Les utilisateurs doivent apprendre que les escrocs utilisent désormais des SMS pour inciter les gens à divulguer leurs informations, et ils doivent comprendre qu'un lien dans un message texte inattendu peut être tout aussi dangereux qu'un lien dans un e-mail.
