Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le téléphone, cet outil de voyou

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Le téléphone, cet outil de voyou

L’usage du téléphone dans le cadre de la fraude informatique n’a rien de très nouveau (Kevin Mitnick n’était pas en reste en la matière dans les années 1990, et il n’était pas le premier !). Mais deux événements récents viennent rappeler que téléphone et ingénierie sociale font toujours très bon ménage.

C’est d’abord Cédric Pernet qui évoque sur son blog le « Phone-by-Download ». Le terme rappelle, bien entendu, le Drive-by-Download, cette activité qui consiste à ratisser large sur le web et infecter les internautes au petit bonheur via l’affichage d’une page piégée (le plus souvent sur un site légitime compromis au préalable). Le « Phone-by-Download » en est l’équivalent… téléphonique, bien sûr ! Cela consiste pour le pirate à appeler ses victimes en se faisant passer pour leur banque ou leur fournisseur d’accès par exemple. L’objectif est alors de les convaincre de visiter une URL particulière ou d’installer un outil spécial sous un prétexte quelconque mais urgent. Et bien entendu, au passage, d’infecter la machine… Il s’agit ici plus précisément d’une forme de phishing téléphonique (ce qui n’a là non plus rien de nouveau en soi). Mais l’attaque est ici destinée non plus à soutirer des informations confidentielles à la vitime mais plutôt à infecter sa machine.

Hasard – ou pas – du calendrier, hier matin l’un de nos contacts sur un réseau social faisait état d’un appel téléphonique reçu par, excusez du peu, la famille de feu le président de la République gabonaise Omar Bongo. Les lecteurs les plus vifs auront déjà compris que la (pseudo) famille cherchait un coup de main pour faire sortir quelques millions de dollars malencontreusement bloqués sur un compte bancaire quelconque. Devant le refus de notre contact, l’interlocuteur ne s’est pas démonté et à demandé les coordonnées de l’un de ses collègues.

Rien de très nouveau sous le soleil, donc. Mais à l’heure où l’effort de sensibilisation commence à porter ses fruits vis-à-vis de l’email et – dans une moindre mesure – le web, les criminels migrent vers le téléphone (dont le coût a considérablement diminué) dans l’espoir d’y retrouver la naïveté des premiers jours chez leurs victimes.

Pour l’entreprise, le risque de phishing téléphonique bien ciblé est réel et il serait plutôt malin d’inclure dès à présent la composante téléphonique dans les programmes de sensibilisation.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.