20.04.2021 - La semaine dernière, le NCSC a reçu moins d'annonces que d'habitude. Des cas de fraude à l'investissement et aux petites annonces ont surtout été signalés. Une nouvelle procédure a été constatée: les entreprises sont averties de failles de sécurité banales ou de paramètres de sécurité manquants. Les agresseurs pensent pouvoir inquiéter ainsi les destinataires et les inciter à payer une somme d'argent. Enfin, certaines annonces étaient en lien avec une méthode de paiement mobile, où des sommes d'argent sont escroquées en étant inscrites sur la facture du téléphone portable.
Statistiques actuelles
Un concours néfaste
«Vous avez gagné. Il vous reste à transmettre un code pour vérification». Ce message semblant annoncer une bonne nouvelle servait en fait un dessein criminel. L'escroquerie a commencé par le piratage du compte Facebook d'une petite épicerie, par le biais duquel un faux concours a ensuite été publié. Si une personne y participait et indiquait son numéro de téléphone portable, elle recevait immédiatement un message déclarant qu'elle avait gagné et qu'il ne lui restait plus qu'à transmettre un code reçu par SMS.
Entre-temps, les escrocs avaient effectué un achat sur Internet, en se servant du numéro de téléphone portable de la victime. Beaucoup de gens l'ignorent, mais la méthode de paiement mobile «Direct Carrier Billing» permet de régler les achats en ligne dans des magasins d'applications en inscrivant les montants correspondants sur la facture de téléphone portable. Après que le numéro de téléphone a été saisi, ces achats doivent encore être confirmés par un code SMS. Celui-ci est envoyé au numéro de téléphone saisi, c'est-à-dire à la victime. Pour pouvoir valider l'achat, l'escroc a donc besoin de ce code SMS. Sous un prétexte quelconque – dans le cas présent, il s'agissait du concours –, il tente alors d'amener la victime à lui transmettre ce code. Si celle-ci lui transmet le code, l'attaquant peut confirmer le paiement et le montant est extorqué, à savoir inscrit sur la facture du téléphone portable.
Les annonces concernant des frais inexpliqués sur les factures de téléphonie mobile ont augmenté ces dernières semaines. Dans presque tous les cas, il s'agissait d'une utilisation abusive de «Direct Carrier Billing». Ne transmettez en aucun cas les codes que vous recevez par SMS!
Une faille de sécurité a été décelée
Il existe aujourd'hui de nombreux programmes de primes aux bogues qui offrent des récompenses appropriées aux personnes qui découvrent de manière éthique des failles de sécurité. Des règles sont fixées dans ce cadre et doivent être suivies tant par les chercheurs que par les parties concernées lorsqu'une faille de sécurité est découverte et signalée. La semaine dernière, nous avons reçu un courriel alertant une entreprise qu'elle avait une faille de sécurité. Concrètement, le courriel avertissait de l'absence de DMARC (Domain-based Message Authentication, Reporting and Conformance).
DMARC est une spécification développée pour réduire les abus relatifs aux messages électroniques. Dans le courriel mentionné, aucune somme d'argent n'était demandée, mais il précisait que le chercheur reprendrait contact si la faille de sécurité n'était pas comblée. Cependant, il n'est pas nécessaire d'être un spécialiste pour reconnaître une absence de DMARC.
On peut le savoir par des moyens très simples. Aussi, l'absence de DMARC ne peut être qualifiée de faille. Il manque simplement un élément de sécurité supplémentaire. Les auteurs de ce genre de courriels pensent pouvoir inquiéter de la sorte les destinataires et les inciter à payer une somme d'argent. Il est également probable que si les destinataires répondent une fois à un courriel, d'autres failles de sécurité banales seront signalées et que les attaquants tenteront alors de soutirer effectivement de l'argent aux victimes.
Si vous recevez des informations sur d'éventuelles failles de sécurité, vérifiez-les consciencieusement et agissez de façon réfléchie. Ne vous laissez jamais mettre sous pression.
Dernière modification 20.04.2021