Attaques

Gare au phishing par SMS !

Par Jerome Saiz, le 27 juin 2006 à 13:21:00.

Attaques

Après l'hameçonnage par email, voici venue l'ère du SMS. La nouvelle attaque repérée aux Etats-Unis débute par un SMS envoyé sur le téléphone mobile des victimes, confirmant leur inscription à un site de rencontres commercial. Pour ne pas payer, il suffit de se rendre sur un site web pour se désinscrire.... et récupérer au passage un cheval de Troie.

Un phishing d'un type inédit sévit actuellement aux Etats-Unis : les victimes potentielles sont contactées par SMS plutôt que par email comme c'est encore souvent le cas.
Le message leur confirme une soit-disant inscription à un site de rencontres sur Internet, et stipule au passage que le service leur sera facturé deux dollars par jour directement sur leur facture téléphonique. Pour se désinscrire, il suffit de visiter un (faux) site web.
Ce dernier est bien entendu piégé et il tente d'installer un cheval de Troie destiné à "zombifier" le PC de la victime. Il s'agirait, selon la dénomination de la société Websense, d'une variante de Dumador. Le site n'exploite aucune vulnérabilité pour installer son parasite. Il se contente de demander au visiteur de le télécharger de lui-même et fournit des indications pour contourner la traditionnelle alerte d'Internet Explorer au moment de télécharger un code exécutable.

Ce n'est pas la première fois que la téléphonie est utilisée dans le cadre d'une attaque de phishing, mais jusqu'à présent le téléphone était utilisé pour remplacer le site web usurpé, et non pour appâter les victimes.
D'autres attaques, en revanche, exploitent déjà depuis longtemps les SMS : il s'agit généralement d'envoyer un message anonyme demandant à la victime d'appeler un certain numéro de toute urgence. Ce dernier correspond en réalité à un numéro lourdement surtaxé.
Après tout, on a voulu la convergence de l'informatique et de la téléphonie. Il n'y a aucune raison qu'elle ne se fasse pas du côté des escrocs également. Dont acte...

Plus d'information

L'alerte sur le site de Websense, avec des captures d'écran du site (en anglais)

eBay : un phishing plus vrai que nature. (31 juil 2005)
Forte augmentation du phishing en janvier. (01 mars 2005)
Nouveau phishing pour le Crédit Lyonnais (30 jan 2006)
Chronique d'un phishing ordinaire. (16 déc 2004)
Le phishing devient téléphonique (28 avril 2006)

Cartes blanches

Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.	Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.	Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres

Attaques

Gare au phishing par SMS !

Plus d'information

A voir aussi

Cartes blanches

espace partenaires

Livres Blancs

Guides