Pour protéger les utilisateurs d’iPhone, d’iPad et de Mac, Apple a intégré une série de mécanismes de sécurité à iMessage. Par exemple, la messagerie instantanée dispose d’une protection automatique contre les messages de phishing. En effet, iMessage désactive automatiquement les liens dans les messages provenant d’expéditeurs inconnus.
Cette sécurité empêche les utilisateurs de cliquer sur un lien malveillant. Elle s’applique par défaut, sauf si vous ajoutez l’expéditeur à vos contacts ou si vous interagissez avec lui. Si un utilisateur répond au message ou ajoute l’expéditeur à ses contacts, les liens deviennent automatiquement actifs.
À lire aussi : Apple cherche encore à justifier l’absence d’iMessage sur Android
Explosion des attaques de smishing sur l’iPhone
En s’appuyant sur le fonctionnement de ce mécanisme, des cybercriminels ont trouvé le moyen de désactiver la protection d’iMessage contre le phishing. Comme le rapportent nos confrères de Bleeping Computer, les détenteurs d’iPhone font face à une explosion des attaques de smishing, c’est-à-dire des phishing par SMS, qui veulent contourner les protections. Les messages cherchent à persuader les cibles de répondre, ce qui va automatiquement désactiver les restrictions contre les liens frauduleux. De facto, les pirates pourront parvenir à leurs fins.
Comme l’explique Benoît Grunemwald, expert de la sécurité chez ESET France, à 01Net, « les cybercriminels imaginent des techniques toujours plus ingénieuses pour contourner les protections de sécurité ». Il est surtout « préoccupant de noter qu’ils se tournent vers les utilisateurs afin de les manipuler ».
À lire aussi : Les fichiers SVG, la nouvelle arme des pirates adeptes du phishing
Répondez avec un Y
Le média spécialisé prend l’exemple d’un message de phishing qui usurpe l’identité d’USPS, le service postal des États-Unis. Dans ce cas de figure, les escrocs demandent à la victime de répondre par un Y pour pouvoir « rouvrir le lien d’activation » qui indique où se trouve un colis. Le lien va plutôt relayer la cible vers une page de phishing destinée à aspirer une montagne de données personnelles. Un message de phishing concernant un prétendu péage routier impayé utilise la même astuce.
« Bien que le smishing soit une méthode d’attaque majeure, je pense que beaucoup de gens arrivent à repérer les signes révélateurs ou à douter de l’authenticité de ces messages. Cependant, certains tombent dans les pièges tendus car ces tactiques sont conçues pour les inciter à réagir de manière impulsive », analyse l’expert d’ESET France.
Selon Benoît Grunemwald, il n’y a pas encore « d’éléments confirmant que ces attaques visent la France ». Néanmoins, on peut redouter que la tactique employée par les pirates américains soit rapidement exploitée dans le reste du monde, y compris dans l’Hexagone et dans les autres pays d’Europe.
La stratégie est d’autant plus qu’efficace qu’elle permet aux cybercriminels d’identifier directement les cibles qui sont plus susceptibles de coopérer que les autres. Pour éviter de tomber dans le piège tendu par un cybercriminel, on vous conseille de ne jamais répondre à des messages provenant de contacts inconnus, de vérifier scrupuleusement l’authenticité d’un message avant de vouloir interagir, et de « rester particulièrement vigilant face aux demandes d’informations sensibles », énumère Benoît Grunemwald.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
