L’hameçonnage (phishing) est l’une des menaces les plus fréquentes et les plus efficaces pour les pirates. De milliers d’utilisateurs se font berner chaque mois par des messages et faux sites officiels parfois très convaincants avec à la clé le vol de données confidentielles et bancaires.
Une attaque d’hameçonnage d’un nouveau genre sévit depuis l’année dernière dans pas moins de 100 pays, notamment parce qu’elle délaisse les SMS pour exploiter le protocole RCS utilisé par Google Messages et plus récemment par iMessage de l’iPhone.
Darcula, le phishing qui utilise le protocole RCS
Darcula, c’est son nom, est un PhaaS (Phishing-as-a-Service), un service de phishing vendu clé en main à qui voudrait monter sa petite affaire d’hameçonnage. Celui-ci est visiblement utilisé depuis l’été dernier dans pas moins de 100 pays à travers le monde selon le site Bleeding Computer, qui cite le chercheur en sécurité Oshri Kalfon.
Plus de 20 000 domaines ont été usurpés dans des secteurs aussi variés que les services postaux, les compagnies aériennes, les banques et le gouvernement. Darcula offre à ses « clients » pas moins de 200 modèles de faux messages et sites web pour tromper leurs victimes, avec des imitations quasi parfaites des sites de UPS ou encore USPS aux États-Unis.
La particularité de Darcula, c’est qu’il utilise le protocole RCS ainsi qu’iMessage sur iPhone pour envoyer ses liens dangereux aux victimes. Ces différents protocoles sont vendus comme plus sécurisés par Google et Apple, si bien que ces messages semblent donc authentiques à première vue. Pour l’iPhone, les criminels sont ainsi obligés d’utiliser de multiples Apple ID via macOS pour envoyer plusieurs centaines de messages et contourner ainsi les limitations d’iMessage.
De plus, les messages étant cryptés, ils sont ainsi indétectables par les opérateurs téléphoniques, « laissant la détection des spams sur les appareils de Google et d’Apple et les applications tierces de filtrage des spams comme première ligne de défense pour empêcher ces messages d’atteindre les victimes » selon le site Netcraft.
Évidemment, ces messages émanent bien souvent d’adresses mail douteuses ou de numéros absents de votre liste de contacts, leur origine douteuse est pour la plupart d’entre eux évidente. Mais certains attaquent peuvent utiliser des numéros de service et tromper plus aisément leurs victimes. C’est le cas en France depuis quelques mois et les récents piratages des services Ameli et France Travail.
Comme toujours, on vous conseillera de bien vérifier la provenance de ces messages et notamment la présence de liens douteux. Une instance administrative ne vous demandera jamais de cliquer sur un lien dans un SMS ou RCS. Et comme le rappelle le site Netcraft, les fautes d’orthographe et grammaticales sont toujours un bon moyen de détection.
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix