Après l'hameçonnage par email, voici venue l'ère du SMS. La nouvelle attaque repérée aux États-Unis débute par un SMS envoyé sur le téléphone mobile des victimes, confirmant leur inscription à un site de rencontres commercial. Pour ne pas payer, il suffit de se rendre sur un site web pour se désinscrire.... et récupérer au passage un cheval de Troie.

au sommaire


    Gare au phishing par SMS !

    Gare au phishing par SMS !

    Un phishing d'un type inédit sévit actuellement aux États-Unis : les victimes potentielles sont contactées par SMS plutôt que par email comme c'est encore souvent le cas. Le message leur confirme une soi-disant inscription à un site de rencontres sur Internet, et stipule au passage que le service leur sera facturé deux dollars par jour directement sur leur facture téléphonique. Pour se désinscrire, il suffit de visiter un (faux) site web.

    Ce dernier est bien entendu piégé et il tente d'installer un cheval de Troiecheval de Troie destiné à "zombifier" le PCPC de la victime. Il s'agirait, selon la dénomination de la société Websense, d'une variante de Dumador. Le site n'exploite aucune vulnérabilité pour installer son parasiteparasite. Il se contente de demander au visiteur de le télécharger de lui-même et fournit des indications pour contourner la traditionnelle alerte d'Internet Explorer au moment de télécharger un code exécutable.

    Ce n'est pas la première fois que la téléphonie est utilisée dans le cadre d'une attaque de phishing, mais jusqu'à présent le téléphone était utilisé pour remplacer le site web usurpé, et non pour appâter les victimes. D'autres attaques, en revanche, exploitent déjà depuis longtemps les SMS : il s'agit généralement d'envoyer un message anonyme demandant à la victime d'appeler un certain numéro de toute urgence. Ce dernier correspond en réalité à un numéro lourdement surtaxé.

    Après tout, on a voulu la convergence de l'informatique et de la téléphonie. Il n'y a aucune raison qu'elle ne se fasse pas du côté des escrocs également. Dont acte...