Des experts la cybersécurité piégés par du phishing mobile

Le par Jérôme G.  |  5 commentaire(s)
cyber

Une campagne de phishing mobile a piégé près de la moitié de professionnels de la sécurité informatique. Elle était factice dans le cadre d'une étude menée par Lookout.

Spécialiste de la sécurité mobile, Lookout a joué un vilain tour à un public averti. Fin septembre, l'éditeur a mené une campagne de phishing mobile à destination des exposants du salon des Assises de la Sécurité, dont l'édition 2020 aura lieu mi-octobre à Monaco.

Pour cette campagne de phishing factice, Lookout souligne avoir utilisé les mêmes méthodes que celles des pirates informatiques. Les numéros de mobiles de plus de 200 exposants ont été récupérés par le biais du réseau social professionnel LinkedIn où ils étaient publics.

Tirant parti d'une possibilité de personnalisation, Lookout précise s'être servi d'un ancien ID d'expéditeur utilisé par les Assises de la Sécurité dans de précédents messages aux participants pour renouveler leurs stands (DGCXP).

Un SMS " piégé " a été envoyé aux exposants pour les inviter à cliquer sur un lien en leur expliquant qu'un participant du salon leur avait adressé une demande de rendez-vous. Lors de cette campagne de phishing, chaque SMS contenait une URL unique permettant ainsi d'établir des statistiques.

lookout-phishing-mobile-etude-1
Lookout indique avoir obtenu un taux de clics de près de 50 % pour sa campagne de phishing. La moitié des victimes ont cliqué au bout des dix premières minutes après l'envoi de la campagne. Le premier clic a eu lieu au bout de seulement 10 secondes.

Pour les victimes, une page expliquait qu'ils venaient de se faire hammeçonner sans le savoir, mais uniquement dans le cadre d'une étude. " Ce test est sans conséquence pour vous ou pour votre mobile mais à l'avenir, soyez vigilant lorsque vous cliquez sur un lien reçu par SMS ou par messagerie mobile. "

lookout-phishing-mobile-etude-2
Un rappel à la vigilance qui a dû surprendre de tels experts de la sécurité… qui ont échappé à un vrai lien malveillant (des mesures de protection auraient alors tiqué ?). Un tel défaut de vigilance est probablement encore plus répandu auprès du grand public.

Lookout détaille que son lien a été ouvert pour 53,5 % sur iOS, 28,7 % sur Android. Pour le reste, il a été ouvert sur Windows, macOS et Linux. Parmi les profils, des commerciaux pour 34,3 %, des directeurs pour 29,4 %, des ingénieurs pour 23,5 %. Parmi les exposants ayant cliqué, près de 11 % sont dans le domaine de la sécurité mobile.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
FRANCKYIV offline Hors ligne VIP icone 54005 points
Premium
Le #2110222
Bof ...

Il y a quelque chose qui prouve que ce lien a été ouvert depuis le mobile ?

Car perso je reçois ça, je l'ouvre soit dans une machine virtuelle, soit depuis une clef USB Tails depuis un vieil ordinateur.

Du coup tout de suite, ça limite les risques ...

Edit :

Oui je sais y a des statistiques sur les OS, mais perso je peux aussi utiliser un user agent différent.
lebonga offline Hors ligne VIP avatar 32187 points
Le #2110226
Sacrés experts !!!!!

Perso, je reçois ça, je jette, si la personne veut entrer en contact avec moi, il y a d'autres moyens...
Anonyme
Le #2110233
FRANCKYIV a écrit :

Bof ...

Il y a quelque chose qui prouve que ce lien a été ouvert depuis le mobile ?

Car perso je reçois ça, je l'ouvre soit dans une machine virtuelle, soit depuis une clef USB Tails depuis un vieil ordinateur.

Du coup tout de suite, ça limite les risques ...

Edit :

Oui je sais y a des statistiques sur les OS, mais perso je peux aussi utiliser un user agent différent.


J'avais joué le jeux un jour avec un courriel reçu de "ma banque". Le plus beau dans l'histoire, c'est que c'était la première fois que j'en recevais un avec le nom de cette banque, et ça ne faisait que quelques semaines que j'y étais.

Je savais que c'était un courriel pour récupérer mes identifiants, mais curieux, je suis passé par un VM pour ouvrir le lien.

L'interface était quasi identique. Mais il n'y avait aucun lien des menus qui fonctionnait. La seule chose que je pouvais faire, c'est de mettre identifiant et mot de passe.

Mais quand on suit le lien pour s'identifier, on ne remarque peut être pas ce détail.

Je mets n'importe quoi dans les champs et je me connecte. Et là ça me redirige vers le vrai site de la banque. L'utilisateur qui s'est fait avoir pense ainsi qu'il y a eu un problème, remet ses identifiants et là évidemment ça fonctionne.

J'ai trouvé ça quand même bien foutu
Psyconaute offline Hors ligne Vétéran icone 1345 points
Le #2110262
FRANCKYIV a écrit :

Bof ...

Il y a quelque chose qui prouve que ce lien a été ouvert depuis le mobile ?

Car perso je reçois ça, je l'ouvre soit dans une machine virtuelle, soit depuis une clef USB Tails depuis un vieil ordinateur.

Du coup tout de suite, ça limite les risques ...

Edit :

Oui je sais y a des statistiques sur les OS, mais perso je peux aussi utiliser un user agent différent.


On est d’accord je fais la même si j'ai le moindre doute jamais direct du téléphone ....

Le spoofing d'user agent y'a pas plus simple, ça reste très efficace quand on veut se débarrassé des trackers multisite, perso tout les x temps il change tout seul chez moi, et je m'y suis fait je laisse tout le temps actif sauf sur certain site en liste blanche (question de confort de mise en page).
Okutsuko offline Hors ligne Vétéran icone 1397 points
Le #2110269
De gros experts du coup ! Ça donne une idée de la confiance qu'on peut avoir en ces "experts"
Anonyme
Le #2110274
A part ne pas cliquer ou chercher à contacter l’expéditeur autrement, existe-t-il une solution pour se protéger depuis Android ou IOS ?
icone Suivre les commentaires
Poster un commentaire