Les possesseurs d’ordinateurs luttent contre les attaques de phishing depuis déjà un bon moment. En fait, le phishing est devenu si courant au cours des cinq dernières années qu’il a fallu prendre des mesures pour assurer la sécurité des utilisateurs.
Si les principaux navigateurs et suites de sécurité possèdent des filtres anti-phishing plutôt efficaces, on ne peut pas en dire autant des smartphones, une catégorie d’appareils ayant de plus en plus de succès auprès des utilisateurs de services bancaires en ligne.
L’attaque de phishing que je vous présente aujourd’hui n’est pas une menace classique, elle s’en prend à nos petits smartphones si pratiques. Les PC sont vulnérables aux attaques, mais ce n’est pas parce que vous utilisez un autre appareil que vous êtes en sécurité.
Les cyber-escrocs à l’origine de cette campagne de phishing essaient de faire croire aux utilisateurs de smartphones qu’ils sont sur la page de connexion de la version mobile de Scotiabank®. Ces cybercriminels innovants ont pris leur travail malveillant très au sérieux puisqu’à première vue la copie ressemble de façon frappante à l’original.
Fig 1. Page web « spoofée » de Scotiabank sur un navigateur
Cependant, une observation plus attentive révèle une différence fondamentale, le nom de domaine suspect, qui devrait éveiller les soupçons. Mais il y a une autre particularité : la page spoofée demande également un code de sécurité (les trois chiffres figurant au dos de la carte bancaire).
Une fois que l’utilisateur a rempli le faux formulaire en indiquant son numéro de carte bancaire et le mot de passe correspondant, il est impossible de revenir en arrière. La personne malintentionnée a alors accès au compte bancaire de l’utilisateur et à son argent.
Pour le phishing, l’attention est essentielle. De nombreux cybercriminels exploitent le fait que nous soyons occupés, pressés, inattentifs, distraits ou naïfs. À cela s’ajoute la petite taille de l’écran des smartphones (qui empêche l’utilisateur de voir l’URL de la page web requise, ou de la voir entièrement) ainsi que l’absence de solution antivirus et de sécurité intégrée au navigateur (la plupart des navigateurs mobiles n’étant pas équipés de technologies antiphishing) : le coktail est explosif.
Fig 2. Différentes vues d’une même page
Avant de cliquer sur un lien de votre navigateur mobile, assurez-vous que vous savez vraiment où il vous conduit. S’il est partiellement masqué ou s’il a l’air suspect, ne cliquez pas dessus. Même les liens semblant légitimes peuvent s’avérer faux ; il est courant que les phishers aient recours à un service d’hébergement Web gratuit pour héberger la page de phishing dans un dossier portant le nom du site web pour appareils mobiles de la banque. Gardez également à l’esprit que les services bancaires en ligne sont critiques, en particulier lorsqu’on y accède à l’aide d’un appareil mobile et qu’il serait plus sage (et plus sûr) de taper manuellement une URL dans le navigateur mobile plutôt que d’y accéder à l’aide d’un marque-page ou, pire encore, en cliquant sur le lien d’un e-mail provenant d’un expéditeur inconnu.
Source : MalwareCity