Semaine 22: quand le vishing s'ajoute au smishing

06.06.2023 - La semaine dernière, une cyberattaque intéressante a été signalée au Centre national pour la cybersécurité (NCSC). Elle associait hameçonnage par SMS (smishing) et hameçonnage par appel téléphonique (vishing). La personne ciblée a cliqué sur le lien figurant dans le SMS, puis a saisi les données de sa carte de crédit sur la page qui s'était ouverte. Les mesures de sécurité mises en place ont toutefois empêché le virement. Or lorsque le cybercriminel s'en est rendu compte, il a appelé la personne pour lui proposer une assistance téléphonique.

La tentative de smishing qui a été signalée au NCSC a commencé comme d'habitude avec un SMS, qui semblait en l'occurrence provenir de Netflix. Le message en question indiquait que le dernier paiement avait échoué et que la personne devait réactiver son compte au moyen du lien fourni.

Le client de Netflix visé a reçu les SMS ci-dessus: le premier le priait d'ouvrir le lien figurant dans le message, et le second mentionnait l'envoi d'un mot de passe à usage unique (OTP).
Le client de Netflix visé a reçu les SMS ci-dessus: le premier le priait d'ouvrir le lien figurant dans le message, et le second mentionnait l'envoi d'un mot de passe à usage unique (OTP).

La personne ciblée a ouvert le lien, qui l'a menée à un faux formulaire requérant les informations suivantes: adresse électronique, nom, numéro de téléphone, mot de passe Netflix, numéro de carte de crédit, date d'expiration et code CVV.

À gauche, la première page d'hameçonnage demandant les informations personnelles; à droite, la deuxième page d'hameçonnage servant à récupérer les données de la carte de crédit.
À gauche, la première page d'hameçonnage demandant les informations personnelles; à droite, la deuxième page d'hameçonnage servant à récupérer les données de la carte de crédit.

Le cybercriminel a ensuite tenté d'exécuter un paiement au moyen des données fournies par sa cible. Heureusement, la carte de crédit était protégée par 3-D Secure, un protocole de sécurité supplémentaire qui requiert une confirmation du versement. La personne ciblée a alors découvert l'escroquerie et a refusé la transaction. Jusque-là, le cybercriminel a appliqué les méthodes de smishing ordinaires, sans se douter que des mesures de sécurité feraient échouer sa tentative.

Le cybercriminel ne lâche pas prise: du smishing, il passe au vishing

L'interruption du versement n'a bien entendu pas échappé au cybercriminel. Pour récupérer la somme convoitée, celui-ci a appelé sa cible en utilisant un numéro de téléphone portable suisse et en se faisant passer pour un employé de Netflix. Au cours de la conversation, il a promis à la personne de l'aider à débloquer son compte et à effectuer le versement, mais en vain. Le cybercriminel a insisté une dernière fois, invitant son interlocuteur à prendre le temps de réfléchir à son offre. Celui-ci a alors mis fin à l'appel.

Le NCSC reçoit actuellement beaucoup de signalements concernant des tentatives de vishing. Les cybercriminels se font passer pour des employés d'établissements de cartes de crédits ou de banques et prétendent vouloir clarifier une erreur de comptabilisation ou annoncer une mise à jour de l'e-banking. Pour ce genre d'appels, ils utilisent souvent la téléphonie par Internet et falsifient ou masquent leur numéro.

Recommandations:

  • Faites preuve de vigilance lorsque vous recevez des SMS ou des appels dont les auteurs vous incitent à cliquer sur un lien ou à communiquer des informations personnelles, même si le numéro vous paraît familier.
  • Si vous avez des doutes, mettez fin à l'échange et prenez contact avec l'entreprise par les canaux habituels.
  • Ne saisissez jamais de données personnelles telles que des mots de passe ou des données de carte de crédit sur un site Internet auquel vous avez accédé en cliquant sur un lien reçu par courriel ou par SMS.
  • Activez l'authentification à deux facteurs dès que vous le pouvez. Celle-ci offre un niveau de protection supplémentaire contre les cyberattaques.
  • Aucune banque ni aucun établissement de carte de crédit ne vous demandera par courriel ou par téléphone de modifier vos mots de passe ou de vérifier vos données de carte de crédit.
  • Si vous remarquez que vous avez indiqué votre mot de passe sur une page d'hameçonnage, modifiez-le immédiatement pour tous les services auxquels vous accédez avec le mot de passe en question.
  • Si vous avez communiqué les données de votre carte de crédit, adressez-vous immédiatement à l'émetteur de la carte afin qu'il puisse la bloquer.
  • Si vous avez divulgué le mot de passe d'un compte de messagerie électronique, réinitialisez aussi tous les mots de passe des prestataires de services web qui sont en relation avec ce compte.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 06.06.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_22.html