Quelle que soit la solidité ou la robustesse de l’infrastructure de sécurité réseau, une erreur de jugement peut ouvrir la porte aux cyberattaques.
Tromper un utilisateur pour qu’il révèle des informations sensibles, principalement par courrier électronique, s’appelle du phishing.
Lorsque le phishing se fait par SMS, on parle de smishing !
Le smishing a connu une recrudescence depuis la pandémie, avec une augmentation de 328 % selon les rapports.
Qu’est-ce que le Phishing?
Le phishing est une tentative de la part d’acteurs frauduleux ou cybercriminels de se faire passer pour une entreprise ou une entité légitime afin d’extraire des informations personnelles ou d’installer un logiciel malveillant dans le système de la victime.
Généralement, des courriels ou des appels téléphoniques sont utilisés pour inciter les victimes à révéler les détails de leur carte de crédit, leurs identifiants bancaires ou les détails de leur compte de médias sociaux.
Les messages de phishing sont rédigés de manière à induire l’urgence ou la panique dans l’esprit de la cible.
Par exemple, vous recevez un courriel d’une société de transport réputée affirmant que votre colis n’a pas été livré en raison d’une adresse incorrecte ou que l’on vous demande de payer des frais aux douanes ou à un transporteur pour effectuer une livraison ; vous êtes invité à cliquer sur un lien pour corriger la situation.
Ce lien vous redirige vers un site malveillant, où le cybercriminel utilise les données que vous saisissez pour lancer des attaques telles que des APT et des ransomwares. Selon une étude récente, la principale action de piratage consiste à utiliser les informations d’identification volées pour compromettre des applications Web.
Le rapport affirme que dans la seule région APAC, 99 % des attaques consistaient presque exclusivement en du phishing.
Il existe plusieurs types d’attaques de phishing.
Le phishing par e-mail : comprend des liens vers des sites malveillants ou des pièces jointes infectées au format HTML ou DOCX et contient des codes exécutables.
Le spear phishing : ressemble beaucoup au phishing, mais il cible des personnes ou des organisations spécifiques au lieu de victimes aléatoires. Souvent, l’attaquant prend l’identité d’un cadre supérieur et cible des employés de niveau inférieur.
Whaling : cette forme d’attaque cible des personnes très en vue dans une entreprise. Le whaling est très lucratif car les cadres supérieurs ont généralement un accès de haut niveau aux données.
Phishing HTTPS : les attaquants créent de faux sites Web et de faux certificats SSL pour faire précéder frauduleusement l’URL du préfixe HTTPS afin d’attirer des utilisateurs peu méfiants et les inciter à récolter des données.
Vishing : il s’agit du phishing par appel téléphonique. Il s’agit d’une astuce d’ingénierie sociale pour forcer les clients à se séparer de données sensibles, en se faisant souvent passer pour un responsable du service clientèle.
Angler phishing : il cible les utilisateurs de médias sociaux en utilisant des messages directs (DM). En général, les attaquants se font passer pour des agents du service clientèle, qu’ils contactent pour résoudre des problèmes.
Qu’est-ce que le Smishing (SMS phishing)?
Le smishing est une forme d’hameçonnage dans laquelle un SMS malveillant est envoyé sur le téléphone de la victime au lieu d’un e-mail pour induire un sentiment d’urgence ou de panique.
Comme pour le phishing, les auteurs de smishing envoient un SMS à un utilisateur de smartphone, lui demandant de cliquer sur un lien ou de répondre au message d’une manière particulière.
Parfois, ces attaquants utilisent le nom et la localisation du destinataire (facilement accessibles sur les médias sociaux) pour lui donner l’impression d’être une source fiable (de confiance).
Une fois que le destinataire a cliqué sur le lien et saisi ses informations d’identification ou révélé les données de sa carte de crédit sur le site qu’il croyait légitime, il se retrouve sur un serveur contrôlé par l’attaquant, qui a alors accès aux données sensibles de la personne, telles que ses informations d’identification, sa carte de crédit ou ses coordonnées bancaires.
Un message de smishing tente de provoquer la panique et une réaction d’urgence de la personne ciblée. Par exemple
“Warning:(Criminal Investigation Department) IRS veut intenter un procès contre vous ; cliquez sur ********* pour en savoir plus. En cas d’échec, votre mandat d’arrêt peut être transmis à votre service de police local, ce qui permettra au gouvernement de geler votre SSN et vos comptes bancaires.”
Smishing vs. Phishing
La seule différence entre le phishing et le smishing est que le phishing est réalisé par le biais de courriers électroniques, tandis que les attaques de smishing sont perpétrées par SMS.
Pourquoi les fournisseurs de services doivent-ils s’attaquer au smishing ?
Selon une étude, le secteur des télécommunications a perdu environ 40 milliards de dollars à cause de la fraude, y compris le smishing. Outre la perte monétaire, l’escroquerie peut causer des dommages irréparables sur deux fronts :
L’atteinte à la réputation de la marque
L’auteur d’un smishing utilise généralement le nom d’une marque connue ou réputée afin d’établir un lien de confiance entre lui et la victime.
Une telle publicité négative peut créer une mauvaise impression sur les différentes enseignes, services ou autres entité commerciales mais aussi auprès des clients existants et potentiels.
Le déficit de confiance peut pousser les clients à se tourner vers la concurrence.
Toute violation entraînant la divulgation de données sensibles dans le domaine public peut avoir des conséquences juridiques et nuire davantage à la réputation d’une entreprise.
Clients mécontents
L’atteinte à la réputation est directement proportionnelle à la perte de clients, c’est-à-dire que plus l’impact d’un incident de smishing est important, plus le nombre de clients perdus est élevé. Comme mentionné précédemment, le smishing est un moyen d’accéder à des données sensibles pour les pirates. Les cybercriminels utilisent ces données pour lancer des attaques avancées comme les APT et les ransomwares. Aucun client ne peut faire confiance à une marque qui ne peut pas protéger ses données clients.
Comment les fournisseurs de services de communication peuvent-ils se défendre contre le smishing ?
Les fournisseurs de services doivent investir dans des solutions de sécurité évolutives pour faire face au vagues de tentatives de smishing.
Ils peuvent s’appuyer sur les meilleures pratiques évolutives suivantes pour assurer la sécurité de leur réseau :
1-Tests continus
Organisez des tests périodiques sur votre réseau et vérifiez les éventuels déséquilibres. Affinez et améliorez votre réseau de sécurité, assurez-vous que les mécanismes de blocage sont en place et mettez continuellement à jour votre posture de sécurité, en gardant à l’esprit les résultats des tests.
2-Interception de la menace
Au lieu de réagir après un incident de smishing, veillez à protéger votre réseau de manière proactive. Utilisez des solutions qui bloquent les tentatives de smishing au moment où elles tentent de pénétrer dans votre réseau.
Voici quelques options proactives :
- Test de pénétration
- Outils de surveillance de la sécurité du réseau
- Outils d’analyse de la vulnérabilité du Web
- Outils de gestion de la surface d’attaque
- Antivirus
- Pare-feu
3- Utilisation et optimisation des ressources
La recherche des bons outils doit s’accompagner de la formation du personnel qui les utilisera. Une unité bien formée et équipée de la combinaison parfaite de solutions de sécurité réseau peut répondre rapidement aux situations émergentes. En outre, le maintien d’une chaîne de commandement rationnelle permettra de remédier rapidement à la situation. Comme les escroqueries par smishing comprennent des astuces d’ingénierie sociale pour duper des employés peu méfiants, une équipe bien formée sera prête pour de telles tentatives.
4-Visibilité centralisée
À mesure que le trafic sur votre réseau s’intensifie et se diffuse dans le monde entier, un programme de visibilité centralisée du réseau vous donne le poids nécessaire pour intégrer une vue à 360 degrés des couches de votre réseau dans une configuration intuitive. Cette stratégie permet d’optimiser la gestion du trafic et l’utilisation des outils, tout en donnant à l’équipe informatique la possibilité de trouver de nouvelles solutions de visibilité du réseau pour s’attaquer aux problèmes de sécurité sans temps d’arrêt. Cette stratégie permet également de s’assurer qu’il n’y a pas d’angle mort sur le réseau, améliorant ainsi la posture de sécurité.
5. La sécurité en tant que service (Security-as-a-Service) comme base
Assurez-vous que vos abonnés sont protégés par défaut grâce à la sécurité du réseau en tant que service.
Lorsqu’il s’agit d’une offre de base, les fournisseurs de services s’assurent que tous leurs abonnés sont protégés s’ils cliquent sur un lien malveillant provenant d’un autre réseau.
Comment les consommateurs peuvent-ils se protéger contre les attaques de phishing et de smishing ?
Le smishing, tout comme le phishing, cible les émotions humaines.
Un rapport récent indique que 82 % des attaques de phishing (y compris le smishing) réussies impliquent une erreur de jugement de la part d’un humain.
Le rapport 2021 de CISCO sur les tendances des menaces en matière de cybersécurité suggère qu’au moins une personne a cliqué sur un lien de phishing dans environ 86 % des organisations.
Les données de l’entreprise indiquent que le phishing (y compris le smishing) est à l’origine d’environ 90 % des violations de données.
Voici quelques mesures que vous pouvez prendre pour parer aux tentatives de smishing :
1- Ne répondez pas aux messages suspects ; essayez de vous désabonner du réseau /ou numéro de téléphone qui les envoie.
2- S’il y a un sentiment d’urgence dans le texte, ralentissez et lisez-le attentivement. Recherchez les fautes d’orthographe ou les erreurs factuelles. La plupart des messages d’escroquerie présentent des signes révélateurs de leur caractère factice ; les fautes d’orthographe sont les plus courantes. Demandez également confirmation à la marque qui envoie le message.
3- Ne cliquez pas sur le lien contenu dans le message et gardez pour vous votre carte de crédit et autres détails sensibles.
4- Signalez un message de phishing suspect aux autorités compétentes.
5- Choisissez un CSP qui utilise une sécurité basée sur le réseau, comme Allot Secure, pour éviter d’être victime de messages de smishing.
La solution de sécurité à 360 degrés d’Allot
Les fournisseurs de services sont de plus en plus confrontés à cette double menace concernant à la fois l’augmentation des tentatives de smishing et de leur complexité croissante.
Les fournisseurs de services de communication (FSC) ont besoin d’une solution complète pour se protéger du smishing.
Allot est l’un des principaux fournisseurs de sécurité en tant que service pour les FSC, offrant une protection à 360 degrés.
En tant que CSaaS basé sur le réseau, il est sans client et offre un déploiement sans contact, ce qui rend son adoption transparente.
Les clients bénéficient d’une protection de cybersécurité contre les logiciels malveillants et le phishing (y compris le smishing).
Tous les produits du portefeuille bénéficient d’un système de gestion unifié unique – une seule politique et un traitement unifié des rapports et des événements.
Source : Allot
