Une variante redoutable du phishing adaptée aux appareils mobiles
Alors que le phishing, ou hameçonnage en français, reste une menace bien connue en matière de cybersécurité, une nouvelle forme d’attaque, baptisée « mishing », fait son apparition. Spécialement conçue pour cibler les appareils mobiles, cette technique redoutable gagne du terrain à l’échelle mondiale.
Qu’est-ce que le mishing ?
Le terme « mishing » a été introduit par la société de sécurité Zimperium. Il regroupe plusieurs techniques d’hameçonnage adaptées aux smartphones et aux tablettes. Contrairement au phishing classique, souvent axé sur les ordinateurs de bureau, le mishing exploite les comportements spécifiques des utilisateurs mobiles et contourne les mesures de sécurité traditionnelles.
Le mishing se décline en plusieurs variantes :
- Smishing : hameçonnage par SMS, où des liens malveillants ou des demandes d’informations sensibles sont envoyés par message texte.
- Quishing : attaque via des codes QR, redirigeant vers des sites web dangereux.
- Vishing : utilisation d’appels vocaux pour inciter les victimes à divulguer des informations confidentielles.
- Attaques Wi-Fi : exploitation des réseaux sans fil publics pour intercepter les données sensibles.
Une menace en pleine expansion
D’après le rapport de Zimperium, le mishing ne cesse de se propager. Le smishing est aujourd’hui le mode d’attaque mobile le plus courant, représentant 37 % des attaques en Inde, 16 % aux États-Unis et 9 % au Brésil. Le quishing, bien que plus récent, gagne également du terrain, notamment au Japon (17 %), aux États-Unis (15 %) et en Inde (11 %).
Ce qui rend cette menace particulièrement pernicieuse, c’est la capacité des cybercriminels à adapter leurs techniques. Par exemple, certains sites de phishing détectent le type d’appareil utilisé par la victime. Sur un ordinateur, ils affichent un contenu anodin, mais sur un smartphone, ils déploient une charge malveillante.
Pourquoi le mishing est-il si dangereux ?
Le mishing ne se contente pas de recycler les vieilles recettes du phishing. Il tire parti des spécificités des appareils mobiles, notamment :
- La caméra, pour scanner des QR codes piégés.
- L’interface tactile, qui rend plus facile le clic accidentel sur un lien dangereux.
- La géolocalisation, pour personnaliser les attaques et rendre les tentatives d’hameçonnage plus crédibles.
Selon Nico Chiaraviglio, Chief Scientist chez Zimperium, « le mishing n’est pas simplement une évolution du phishing traditionnel, mais une nouvelle catégorie d’attaques qui nécessite des stratégies de sécurité spécifiques ».
Comment se protéger du mishing ?
Pour éviter de tomber dans le piège du mishing, il est essentiel de suivre quelques règles de base :
- Vérifiez toujours l’origine des messages : méfiez-vous des expéditeurs inconnus ou des messages qui suscitent un sentiment d’urgence.
- Soyez prudent avec les liens et les pièces jointes, surtout lorsqu’ils proviennent de SMS ou de QR codes.
- N’installez jamais d’applications ou de logiciels non vérifiés, même si cela semble provenir d’une source de confiance.
- Activez les solutions de sécurité mobile proposées par des éditeurs reconnus.
Les entreprises, quant à elles, doivent renforcer la formation de leurs employés aux risques spécifiques liés aux appareils mobiles. L’investissement dans des solutions de sécurité mobile avancées est également crucial pour protéger les données sensibles.
Une menace persistante : plus de 1000 attaques quotidiennes en 2024
Le mishing ne montre aucun signe de ralentissement. En août 2024, Zimperium a enregistré un pic de plus de 1000 attaques par jour. Face à cette menace grandissante, la sensibilisation du public et la mise en place de mesures de sécurité adaptées restent essentielles pour protéger ses données personnelles et professionnelles.
La cybersécurité mobile doit désormais devenir une priorité pour tous, particuliers comme entreprises, afin de ne pas laisser aux cybercriminels la moindre opportunité d’exploitation.
About The Author
