Depuis quelques mois, les tentatives de phishing par SMS (SMISHING) se sont multipliées en France. Certaines de ces campagnes (Antai, AMELI, Crit’Air, …) ont défrayé la chronique, cependant ces campagnes visent un nombre toujours croissant de services parmi les plus populaires.
Tribune – Selon Laurent Rousseau, Solutions Architect Manager d’Infoblox France — leader de gestion et de sécurité DNS :
« Le mode opératoire est toujours le même : un individu enregistre des noms de domaines similaires à des entreprises ou services bien connus, avant d’envoyer des SMS en grande quantité grâce à une ligne ouverte sous une fausse identité. Les sites de phishing ne restent en ligne que quelques heures, avant d’être désactivés. Les données personnelles et les numéros de cartes bancaires sont revendus à des groupes spécialisés dans l’ingénierie sociale et le décaissement d’argent. »
Infoblox détecte et répertorie ces innombrables sites illégitimes dès leur création pour protéger les entreprises en amont. Parmi les publications de son équipe Cyberthreat Intelligence, celle-ci décrit certaines de ces campagnes de smishing actives en France, et reste plus que jamais d’actualité.
Dans son article, Infoblox analyse comment les acteurs de menace réussissent à éviter les listes de réputation et sécurité des navigateurs, ainsi que les contrôles de sécurité automatisés. À la date de parution, les équipes Threat Intelligence d’Infoblox avaient répertorié environ 200 adresses IP desservant plus de 7 000 domaines de phishing unique (cf. image ci-jointe). Bien que les attaquants aient utilisé Amazon, Google et d’autres fournisseurs de services en cloud, ils s’appuient aussi fortement sur des serveurs dédiés.
Pour aider les organisations à garder une longueur d’avance sur les attaquants, en particulier en ce qui concerne les domaines similaires (lookalike domains) qui incitent les utilisateurs à renseigner des informations critiques et confidentielles (dont les identifiants et mots de passe) dans des interfaces trompeuses, il est essentiel de bénéficier de listes régulièrement mises à jour relatives aux domaines émergents et suspects, telles que le propose Infoblox. Ces nouveaux domaines, bien qu’ils n’aient pas encore été classés comme malveillants, partagent des indicateurs communs avec d’autres sites malveillants connus.
« Les acteurs malveillants s’adaptent en permanence et ne cessent de lancer de nouvelles campagnes en lien direct avec l’actualité », explique Laurent Rousseau, « Nous recommandons donc la plus grande prudence lors de la réception d’un SMS ou d’un email inattendu, et de suivre les recommandations du ministère ci-après : https://www.service-public.fr/particuliers/actualites/A16378 ».