 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Un nouveau cas de phishing exploitant le téléphone |
| Pour continuer à abuser des utilisateurs désormais sensibilisés aux risques des arnaques sur Internet, les pirates font évoluer leurs méthodes et recourent au téléphone.
(11/07/2006) |
|
 |
En
savoir plus |
|
Dossier 
Virus |
Comme bien souvent, c'est une enseigne du secteur bancaire qui a fait l'objet d'une nouvelle attaque par phishing. Pour PayPal il ne s'agit toutefois pas d'une première. Du moins, à un détail près, puisque le mode opératoire employé par le pirate a subi une évolution marquante par rapport aux précédentes arnaques.
Là où habituellement l'email prétendument expédié par l'entreprise comporte un lien vers un site Internet piégé, le nouveau cas de phishing révélé par Sophos mentionne quant à lui, un numéro de téléphone. La victime est ici informée d'activités frauduleuses sur son compte nécessitant qu'il prenne contact sans délais avec les services de PayPal.
En composant ce numéro aux Etats-Unis, l'utilisateur aboutit directement sur un serveur vocal. Il lui est alors demandé de saisir les 16 chiffres de sa carte bancaire. Et le piège se referme complètement.
Si dans l'ensemble le procédé utilisé par le pirate reste le même, le fait de remplacer le lien habituel par un numéro de téléphone peut permettre d'abuser plus facilement les internautes, absolument pas familiarisés avec ce type d'arnaque.
Pour Graham Cluley, Consultant chez Sophos, il est tout à fait envisageable que la sophistication des attaques aboutisse à une utilisation
récurrente du téléphone. Le consultant va même plus loin en évoquant la possibilité pour les pirates, afin de parfaire leurs attaques, de prendre directement le contrôle des autocommutateurs ou standards téléphoniques des entreprises.
| Des attaques amenées à se multiplier |
Ce cas de phishing exploitant le téléphone est donc le second d'une liste qui risque fort bien de s'allonger dans les mois à venir. En mai dernier, Cloudmark, une société spécialiste de la sécurité, avait révélé la première attaque de phishing utilisant la téléphonie sur IP.
La victime après avoir numéroté, était dirigée vers un automate vocal l'invitant à communiquer son mot de passe, son numéro de compte, ainsi que plusieurs autres données personnelles.
Le numéro de téléphone IP mentionné dans le faux email avait été préalablement et légalement acquis auprès d'un fournisseur de services de ToIP dont le nom n'a pas été révélé.
Selon un porte-parole de Cloudmark, l'utilisation de la téléphonie dans le cadre du phishing n'a rien d'une surprise. La vulgarisation de son usage, l'obtention aisée et peu onéreuse d'un numéro, la possibilité de rediriger les appels vers une autre IP ne peuvent que pousser les cybercriminels à s'y intéresser.
|
| |
| |
|
|
|
|
|
|
