Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’outil Phishing AI de Lookout dévoile les secrets d’une campagne de phishing ciblant les utilisateurs de services bancaires mobiles

février 2020 par Apurva Kumar et Kristin Del Rosso experts chez Lookout

Les consommateurs utilisent de plus en plus des applications bancaires mobiles comme principal moyen de gérer leurs finances, de transférer des fonds, de déposer des chèques et de payer leurs factures. En fait, 89% de répondants à l’enquête Mobile Business Competitive Edge Study de Business Insider Intelligence ont déclaré utiliser des services bancaires mobiles. Malheureusement, cette tendance n’est pas passée inaperçue auprès des cybercriminels qui commencent à l’exploiter comme nouveau vecteur d’attaque.

Carte montrant la répartition des adresses IP des victimes de cette campagne de phishing. Plus de 3900 adresses IP individuelles ont été capturées sur une période de sept mois

Avec l’adoption de l’authentification multifacteur par de nombreuses applications mobiles, y compris celles utilisées pour les services bancaires, les consommateurs sont de plus en plus habitués aux messages SMS transmis par des banques. Les utilisateurs mobiles étant typiquement en mouvement et moins susceptibles de contrôler l’authenticité d’un SMS, ce type de message est devenu un nouveau vecteur d’attaque attrayant pour les acteurs malveillants. De fait, l’outil Phishing AI de Lookout a récemment découvert une campagne de phishing ciblant les clients via SMS pour les attirer vers de faux sites web de banques canadiennes et américaines renommées.

La campagne de phishing, principalement diffusée par SMS, imite les pages d’accès des banques dans le but de capturer les identifiants bancaires de l’utilisateur et d’autres informations de connexion. Parmi les banques touchées par cette campagne de phishing figurent Scotiabank, CIBC, RBC, UNI, HSBC, Tangerine, TD, Meridian, BNC et Chase, qui ont toutes été notifiées avant la publication de cette alerte.

Une attaque de phishing exclusivement sur mobile

Les informations collectées par Lookout indiquent que cette campagne de phishing cible uniquement les utilisateurs de mobiles. Les pages web sont conçues pour paraître légitimes sur mobile, avec des pages de connexion imitant la mise en page et le format des applications bancaires mobiles, ainsi que des liens tels que « Mobile Banking Security and Privacy » ou « Activate Mobile Banking »

Captures d’écran des faux sites de banque en ligne utilisés par la campagne.

De plus, la découverte d’un outil d’envoi automatique de SMS lié au kit de phishing montre que l’attaquant peut créer un message unique, puis l’envoyer facilement à autant de numéros de téléphone qu’il le souhaite, ce qui confirme une fois de plus une stratégie d’attaque ‘mobile-first’.

Outil d’envoi automatique de SMS vu sur les sites de phishing, permettant à l’attaquant de propager efficacement les liens malveillants

De nombreuses pages de cette campagne semblent légitimes grâce à des actions telles que guider la victime au travers d’une série de questions de sécurité, lui demander de confirmer son identité avec la date d’expiration d’une carte ou de revérifier le numéro de compte.

Capture d’écran d’une page de phishing qui liste les adresses IP des mobiles qui ont cliqué sur le lien, ainsi que leur état d’avancement dans la campagne de phishing (par exemple, n’a fourni aucune information, est allé jusqu’à la page « date de naissance » ou est allé au bout de la séquence de phishing). Dans cet exemple, le lien de phishing associé a fait l’objet de plus de 800 clics initiaux.

Lookout a identifié plus de 200 pages de phishing faisant partie de cette campagne et a informé toutes les banques concernées. A ce jour, la campagne est désormais hors ligne.

Lorsque l’attaque a été découverte, le moteur de l’outil Phishing AI de Lookout a pu trouver les adresses IP des victimes et les dates auxquelles le déploiement du kit de phishing a enregistré les clics. Ce qui a révélé une campagne de phishing contre les clients de ces banques, ainsi que l’ampleur de l’attaque, active depuis juin 2019.

Comment se protéger contre les attaques de phishing sur mobile

Les clients des banques ciblées par des campagnes de phishing courent le risque de se faire voler leurs identifiants bancaires, et donc de subir d’importantes pertes financières. D’autre part, repérer les attaques de phishing sur mobile est souvent beaucoup plus difficile que sur un ordinateur portable ou de bureau. Les caractéristiques, les fonctionnalités et même la taille de l’écran des terminaux mobiles d’aujourd’hui rendent plus difficile pour un quelconque individu de déterminer ce qui est réel par rapport à ce qui est faux. En cas de réception d’un message SMS d’une banque, mieux vaut ne pas cliquer dessus mais plutôt d’accéder directement au site web de la banque ou à son application mobile.


Voir les articles précédents

    

Voir les articles suivants