Pourquoi tombons‑nous si facilement pour le phishing par SMS? | WeLiveSecurity

Pourquoi tombons‑nous si facilement pour le phishing par SMS?

Voici comment repérer les escroqueries dans lesquelles les criminels utilisent des SMS trompeurs pour accrocher leurs marques.

Voici comment repérer les escroqueries dans lesquelles les criminels utilisent des SMS trompeurs pour accrocher leurs marques.

Avez-vous déjà reçu un SMS d’une société de livraison que vous connaissez bien et que vous n’avez jamais remis en question? Pourquoi le feriez-vous? Nous commandons maintenant beaucoup en ligne et toutes ces notifications de livraison peuvent souvent se fondre en une seule. Même si vous ne vous attendiez à rien, ils sont souvent si crédibles que lorsqu’un lien est inclus, vous pouvez même vous sentir obligé de cliquer dessus pour en savoir plus.

J’ai récemment remarqué une augmentation d’hameçonnage par SMS (également connu sous le nom de smishing) de la part de supposées sociétés de livraison. L’autre jour, ma belle-mère m’a envoyé un message de panique :


 

J’ai demandé une capture d’écran du message pour voir à quoi elle avait affaire.


 

Il s’agissait manifestement d’un message texte d’hameçonnage par SMS destiné à inciter les victimes à cliquer sur le lien et à les attirer ensuite à se séparer de leur argent quelque part sur la ligne. Mais pourquoi est-ce que je commence à en voir autant maintenant? Juste avant Noël, j’ai remarqué que mes flux de médias sociaux étaient pleins de messages colériques de gens qui recevaient de plus en plus de ces messages malveillants et dont certaines se laissaient avoir bien trop facilement.

Les fraudeurs sont particulièrement doués pour une chose : la manipulation. En outre, ils réforment constamment leur métier, en adoptant de nouvelles techniques afin de contourner les défenses des gens, qui, on l’espère, développent de meilleurs réflexes pour se protéger. Beaucoup d’entre nous se sont habitués aux courriels de phishing classiques, et de plus en plus de gens partagent leurs meilleures pratiques et leurs conseils de sensibilisation.

Cependant, les messages de smishing ne reçoivent pas toujours la même publicité, ce qui peut faire le jeu des criminels qui se cachent derrière. Les SMS n’ont pas d’adresse d’expéditeur que vous pouvez rapidement vérifier visuellement (bien que cela ne suffise pas à garantir l’authenticité d’un message) et certains peuvent même s’attacher intelligemment à des fils de discussion antérieurs dans le cadre d’une correspondance légitime sur votre téléphone et peuvent donc, à première vue, sembler authentiques même aux yeux des professionnels de la sécurité.

Avant d’aborder les conseils sur ce que vous devriez faire si vous recevez l’un de ces messages, je voulais vous faire part de mes propres recherches sur quelques messages de ce type pour voir ce que je pourrais découvrir. Je pense qu’il est important de savoir comment ces messages sont construits et de comprendre la psychologie qui les sous-tend. Après tout, ces campagnes doivent fonctionner, sinon elles ne continueraient pas à inonder nos boîtes de réception.

J’ai décidé de voir ce qu’il y avait derrière les liens, j’ai donc utilisé une machine séparée sur un réseau distinct conçu pour résister à tous les sites malveillants potentiels auxquels je pourrais avoir à accéder. Le lien était une URL raccourcie qui m’a conduit ici :


 

L’URL n’est pas similaire à celle d’une société de livraison bien connue, mais elle contient des mots qui ressemblent à ce à quoi vous pouvez vous attendre. J’ai d’abord pensé que le sous-répertoire du lien envoyé était peut-être unique à ma belle-mère, mais j’ai généré plusieurs autres sous-répertoires et je n’en ai trouvé aucun autre qui fonctionnait. Cela m’a permis d’apprendre que dans ce cas, les criminels ne gardaient pas de trace des numéros sur lesquels ils avaient cliqué et de ceux qui ne l’avaient pas fait. Cela peut arriver dans certains cas où les victimes sont placées sur des listes de personnes plus susceptibles de succomber aux arnaques.

La première page me demandait de programmer une livraison avec le tarif indiqué. J’ai essayé de visiter cette page en utilisant mon réseau privé virtuel (VPN), comme si je venais de différents pays, mais j’ai constaté qu’elle ne fonctionnait qu’à partir du Royaume-Uni – un signe que cette tentative d’hameçonnage n’était pas si sophistiquée. Cependant, ce que je préfère, c’est que si vous regardez bien, les fraudeurs ont utilisé le nom de la société « IPS » plutôt qu’UPS, mais ont pris la peine d’en copier le logo. Pourquoi ne pas simplement utiliser le bon logo? Ce n’est pas comme si le droit d’auteur figurait au palmarès des préoccupations des arnaqueurs.


 

Après avoir cliqué sur l’invitation, je suis arrivé à une page suggérant que mon « colis » arriverait dans 24 à 48 heures. Je dois donner un tout petit point aux escrocs pour avoir été assez malins pour que chaque fois que je cliquais sur le lien « Suivre la livraison », les dates affichées correspondaient.


 

Cependant, lorsque j’ai cliqué sur « Entrer les informations de livraison », j’ai été dirigé vers un autre site et cela m’a conduit à une offre spéciale iPhone, ce qui m’a paru étrange – pour seulement 1£, je pouvais acheter un téléphone! Il m’a ensuite demandé des informations personnelles, notamment des informations sur ma carte de crédit et des numéros de CVV. Ce qui me semble étrange, c’est que si les escrocs sont capables d’attirer les gens à ce stade, pourquoi changer de tactique et proposer un téléphone portable à prix fortement réduit au lieu de se concentrer sur la « livraison », plus plausible?

Passons à autre chose…

J’ai également reçu récemment un autre courriel de satisfaction qui m’a encore davantage étonné. Cette fois, il s’agissait d’un lien vers un faux site de Royal Mail. Bien que l’URL ne tente même pas de se ressembler, le site avait un aspect plus authentique que le précédent site de la société IPS.


 

Comme vous pouvez le voir, le faux lien de la page d’accueil de Royal Mail sur lequel j’ai été emmené est ce à quoi on s’attendrait qu’il ressemble :


 

Après avoir cliqué sur le lien pour « Planifier une nouvelle livraison », on m’a demandé de saisir mes informations personnelles, comme mon nom, mon adresse, ma date de naissance, mes coordonnées bancaires et, bien sûr, le nom de jeune fille de ma mère. (Pourquoi Royal Mail demanderait cela?)


 

J’ai ensuite pu continuer à consulter les détails de paiement. Après avoir rempli toutes ces informations, j’ai dû payer une petite somme (2,95 £) pour la « livraison » du colis, après quoi j’ai dû remplir quelques informations sur ma carte de crédit. J’ai essayé de remplir ce formulaire avec plusieurs lignes de données bidon, mais il y avait des contrôles en place; par exemple, le numéro de carte de crédit devait être un numéro à 16 chiffres. Cependant, j’ai remarqué que j’avais été emmené sur un autre site web, qui était en fait un véritable site web qui avait été piraté et utilisé pour cette escroquerie. J’ai averti les administrateurs du site, qui est maintenant hors service.


 

Après quelques recherches, j’ai trouvé une victime ayant récemment raconté à la BBC comment elle avait reçu un courriel comme celui-ci, prétendant provenir de la société de livraison DPD. On lui a demandé de payer 2£ pour une nouvelle livraison. L’homme a malheureusement indiqué ses coordonnées bancaires, comme sur les demandes vues dans les captures d’écran ci-dessus. Lorsqu’il a vérifié le solde de son compte deux jours plus tard, il a découvert un nouvel achat de 409£ chez Apple UK qu’il n’avait pas autorisé. Si la banque de l’homme a remboursé la totalité du montant perdu dans le cadre de cette escroquerie, tout le monde n’a pas cette chance.

Pensez-y deux fois avant de cliquer

Comme ces messages sont de plus en plus fréquents et créatifs, n’oubliez pas de réfléchir à deux fois à tout message qui vous demande d’agir rapidement – que ce soit pour vous faire peur ou parce que c’est beaucoup. Les messages qui affectent vos émotions vous manipulent sans que votre subconscient le sache. C’est la psychologie intelligente qui est utilisée pour vous faire utiliser votre cerveau rapide avant que votre cerveau lent et raisonnant ne s’installe et ne prenne le relais, remettant en question de telles communications.

En outre, nous devons faire connaître les conseils et la prise de conscience à ceux qui peuvent être plus susceptibles d’être victimes de ces inconvénients. Ceux qui, comme ma belle-mère, sont bien trop souvent très confiants et enclins à tomber dans le piège des escroqueries. En tant que lecteur du WLS, vous êtes probablement un pro chevronné pour repérer un faux message, mais ceux qui ont moins de chance de posséder cette compétence sont ceux que nous devons aider et soutenir. Mais surtout, N’OUBLIEZ PAS : Pensez-y deux fois avant de cliquer.

Infolettre

Discussion