Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le phishing devient téléphonique

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Le phishing devient téléphonique

Après les faux sites web, les faux centres d’appels ? Des escrocs ont récemment utilisé les techniques de téléphonie sur IP pour recueillir les informations confidentielles de leurs victimes. Au delà de l’anecdote, les pirates pourraient bientôt profiter de la banalisation des appels IP et de la facilité de mise en oeuvre d’un mini centre d’appels.


Le faux site web, arme historique des phishers, n’est certes pas encore prêt de disparaître. Mais il a désormais de la concurrence : le faux centre d’appels.

Selon la société antispam Cloudmark, une attaque de phishing d’un genre nouveau a sévi aux Etats-Unis durant quelques jours. Les courriers frauduleux ne proposaient pas à l’internaute de « confirmer » ses informations personnelles en cliquant sur un lien, mais plutôt en appelant un numéro de téléphone. Le principe, bien entendu, reste le même : à l’autre bout de la ligne, nulle banque mais un escroc prêt à détrousser sa victime.

Ce changement de support est probablement d’une efficacité diabolique : alors que les internautes commencent tout juste à apprendre à se méfier des faux sites bancaires, bon nombre d’entre eux seront rassurés à l’idée d’appeler ce qu’ils pensent être leur banque. Sans prendre bien entendu le temps de vérifier le numéro.

Techniquement, bien sûr, mettre en oeuvre un faux centre d’appels est un peu plus contraignant que de pirater un vulgaire PC afin d’y installer un site web frauduleux. Mais ce n’est pas beaucoup plus compliqué. D’autant que les offres de PBX se généralisent (tel le projet Open Source Asterisk , par exemple) et que des opérateurs se spécialisent dans l’acheminement du trafic de voix sur IP à partir des téléphones fixes. Lors de cette première attaque, d’ailleurs, les communications transitaient par un petit opérateur local américain.

Il devient ainsi possible à n’importe qui de se créer un numéro de téléphone qui aboutit sur un PC à l’autre bout du monde, et ça, c’est une révolution dans le petit monde de l’arnaque.

Bien entendu, une grande part du succès de ce type d’attaque repose sur sa nouveauté. Mais c’est ainsi que fonctionne l’Art de l’escroquerie. Et avec la téléphonie sur IP, c’est un nouveau monde qui s’offre aux pirates. Ils pourront, par exemple, plus facilement s’offrir une légitimité apparente afin de confirmer une fausse proposition commerciale ou renforcer la crédibilté d’une escroquerie sur le web.

Après tout, Kevin Mitnick, qui se servait plus volontiers d’un téléphone que d’un clavier, a déjà montré que le téléphone peut être une arme particulièrement efficace. Et c’était bien avant que la téléphonie et Internet ne convergent.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.