0
Une société californienne basée dans le filtrage d'emails baptisée Cloudmark a récemment fait état d'une nouvelle forme d'attaque par phishing. Après l'email, il semblerait que la téléphonie sur Internet suscite la convoitise des pirates, qui y voient une manière inédite, donc efficace, d'escroquer leurs victimes. Au lieu d'inciter l'internaute à se connecter à un site Internet usurpant l'identité de celui d'un établissement financier, le procédé consiste désormais à l'inviter à régler par téléphone un problème lié à son compte. Au téléphone, la victime tombe sur un serveur vocal lui délivrant un message ressemblant à ce que pourrait lui communiquer sa banque qui lui demande de rentrer ses coordonnées personnelles. Le pirate s'arrange pour que le numéro de téléphone comporte un indicatif régional correspondant à celui de la victime.
« Le serveur vocal se fait passer pour un établissement financier et demande à la cible de rentrer son numéro de compte et son code confidentiel », explique Adam O'Donnell, chercheur chez Cloudmark. « Le danger vient du fait que cette technique est nouvelle » et les « résultats peuvent être désastreux sur le plan financier » pour la victime, ajoute-t-il. Le phénomène semble toutefois extrêmement localisé. Il pourrait même s'agir d'un seul pirate qui effectuerait des tests un peu hasard, pense Cloudmark au vu du faible nombre d'emails interceptés.
Un tel procédé tire parti de la simplicité d'installation et des coûts modiques d'une ligne de téléphone tirant parti de la voix sur IP. Elle permet aux pirates de simuler une ligne de téléphone avec un numéro localisé à moindre coût alors qu'auparavant, la mise en place d'un tel système se serait révélée onéreuse et fastidieuse. Bien que cette technique n'en soit qu'à ses débuts, nous pouvons faire confiance à l'ingéniosité des pirates, qui trouveront bien le moyen de la décliner à grande échelle.
L'occasion pour nous, comme toujours, de vous renouveler ces quelques conseils de base : ne jamais accéder à un site bancaire ou financier depuis un email, préférer la saisie manuelle de l'adresse Web d'un site financier à l'accès via un lien hypertexte et maintenant... faire attention aux messages vous incitant à appeler votre banque. Mieux vaut prendre le temps de vérifier le numéro. Pour en savoir plus, vous pouvez également consulter notre Dossier sécurité : Spam et Phishing.
« Le serveur vocal se fait passer pour un établissement financier et demande à la cible de rentrer son numéro de compte et son code confidentiel », explique Adam O'Donnell, chercheur chez Cloudmark. « Le danger vient du fait que cette technique est nouvelle » et les « résultats peuvent être désastreux sur le plan financier » pour la victime, ajoute-t-il. Le phénomène semble toutefois extrêmement localisé. Il pourrait même s'agir d'un seul pirate qui effectuerait des tests un peu hasard, pense Cloudmark au vu du faible nombre d'emails interceptés.
Un tel procédé tire parti de la simplicité d'installation et des coûts modiques d'une ligne de téléphone tirant parti de la voix sur IP. Elle permet aux pirates de simuler une ligne de téléphone avec un numéro localisé à moindre coût alors qu'auparavant, la mise en place d'un tel système se serait révélée onéreuse et fastidieuse. Bien que cette technique n'en soit qu'à ses débuts, nous pouvons faire confiance à l'ingéniosité des pirates, qui trouveront bien le moyen de la décliner à grande échelle.
L'occasion pour nous, comme toujours, de vous renouveler ces quelques conseils de base : ne jamais accéder à un site bancaire ou financier depuis un email, préférer la saisie manuelle de l'adresse Web d'un site financier à l'accès via un lien hypertexte et maintenant... faire attention aux messages vous incitant à appeler votre banque. Mieux vaut prendre le temps de vérifier le numéro. Pour en savoir plus, vous pouvez également consulter notre Dossier sécurité : Spam et Phishing.
