Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
49 % des professionnels de la cybersécurité piégés par un SMS

En prévision des Assises de la Sécurité, qui devraient se tenir du 14 au 17 octobre, Lookout a mené une campagne de phishing mobile factice ciblant 200 de son millier d'exposants (éditeurs, intégrateurs, et cabinets de consultants). Près de 50 % d'entre eux, bien que professionnels de la sécurité informatique, ont cliqué sur le lien raccourci piégé qui leur avait été envoyé.

Le SMS leur expliquait qu'« un participant du salon vous a adressé une demande de RDV 1-to-1, pour voir et confirmer le RDV http://bit.ly/2ABcD3f ». Le premier clic a été effectué par une victime seulement 10 secondes après l’envoi de la campagne, et dans la première minute, plus de 30 victimes ont elles aussi cliqué. La moitié des victimes ont cliqué au bout des 10 premières minutes.

La page leur expliquait alors que « sans le savoir vous venez de vous faire hameçonner. Rassurez-vous il s'agissait simplement d'une étude réalisée en marge des Assises de la sécurité. Soyez vigilant lorsque vous cliquez sur un lien reçu par SMS ou par messagerie mobile. »

Lookout estime que les utilisateurs ont trois fois plus de risques de cliquer sur une URL malveillante sur un terminal mobile. 

66 commentaires
Avatar de Kroezensjtern INpactien
Avatar de KroezensjternKroezensjtern- 08/10/20 à 07:57:22

Cliquer sur un lien n'est pas se faire piéger. Il aurait fallu un formulaire pour voir qui le complétait.

Je clique souvent sur des liens louches pour voir ce qu'il y a derrière. Par curiosité pour voir quelle connerie on va me sortir, ou pour confirmer que c'est bien un phising.

Édité par Kroezensjtern le 08/10/2020 à 07:58
Avatar de marba Abonné
Avatar de marbamarba- 08/10/20 à 08:08:09
Kroezensjtern

Un lien peut renvoyer sur une page vérolée. Donc si cliquer sur un lien louche c'est complètement stupide, en particulier pour des experts en cybersécurité.

Avatar de fuful Abonné
Avatar de fufulfuful- 08/10/20 à 08:16:59

Vous avez un peu raison tous les deux.
Ca m'arrive de cliquer sur certains liens pour voir comment c'est fait Avec certains, collègues, on est même allé au bout du phising, par exemple un compte bancaire, je leur explique, et on rempli n'importe quoi dans les formulaires pour qu'ils voient ou est l'arnaque. Expliquer aux gens me semble plus efficace que de dire de ne pas le faire parce que c'est mal.
Après, oui, une page peut être vérolée et pourrir un ordinateur, c'est pour ça en général que je le montre depuis une VM poubelle, sous Linux, histoire de réduire la surface d'attaque et les dégâts occasionnés dans l'hypothèse du truc vraiment méchant.
Maintenant, pour le sondage, et faisant des salons pour mon boulot, les contacts que possèdent l'organisateurs à propos des exposants, c'est souvent des commerciaux/marketing. Et dans le lot, certains vendent de la cyber sécurité comme il vendrait autre chose, le marketing est sous traité... Bref pas sur que l'échantillon soit représentatif !
Mais un gros bisou quand même à celui qui a cliqué en 10 secondes !

Avatar de Raikiwi Abonné
Avatar de RaikiwiRaikiwi- 08/10/20 à 08:18:52

Cliquer sur un lien bit.ly quand tu ne connais pas l'expéditeur c'est un peu jouer avec le feu quand même.

Perso je suis vraiment frileux concernant ces liens "cacher" dont on ne voit pas la destination

Avatar de Kroezensjtern INpactien
Avatar de KroezensjternKroezensjtern- 08/10/20 à 08:20:24

J'espère qu'en 2020 on peut visiter un lien sans craindre son contenu, tout de même.
Pour le moment, la masse des attaques de ce type, c'est du simple phishing.
Alors ok, un jour peut-être il y en a un qui réussira à nouveau à utiliser une brèche comme c'était si courant il y a 20 ans. A l'époque, même les sites legits nous ouvraient 36 popups.
Bref, ça justifie en effet de ne pas cliquer autant que possible, mais un ouvreur n'est pas un piégé tant qu'il n'y a pas eu de collecte de données confidentielles en pratique.

Édité par Kroezensjtern le 08/10/2020 à 08:23
Avatar de TheMyst INpactien
Avatar de TheMystTheMyst- 08/10/20 à 08:30:29
Kroezensjtern

Je pense que ce genre d'attaque existe, par contre ce sont probablement des failles connues de groupes appartement a des états ou des groupes bien spécialisés.

Donc sauf si vous êtes membre d'un gouvernement, une personne placée haut dans une hiérarchie ou ayant des accès à un SI important, ça m'étonnerait que quelqu'un envoie un lien vérolé.
Si une faille est trouvée, elle est vendue et non exploitée par le premier script kiddie qui fera une campagne de SMS.

Après, le monde est rempli d'exceptions :fumer:

Avatar de marba Abonné
Avatar de marbamarba- 08/10/20 à 08:33:14

Kroezensjtern a écrit :

J'espère qu'en 2020 on peut visiter un lien sans craindre son contenu, tout de même.

NON. C'est complètement stupide de réfléchir comme ça. Des failles dans le web il y en a à la pelle. Ça peut très bien être une mafia qui cherche à extorquer quelqu'un (aka ransomware), pas besoin d'être «haut placé» pour pouvoir être visé.

Non il n'y a pas moins de faille sur le web en 2020 qu'avant, il y en a beaucoup +…

On ne clique pas sur un lien inconnu, c'est tout, c'est pourtant simple comme règle.

Édité par marba le 08/10/2020 à 08:35
Avatar de esver Abonné
Avatar de esveresver- 08/10/20 à 08:34:24

Il m'arrive de "cliquer " sur ce genre de lien pour voir ce qu'il y a derrière. Mais mon "cliquer" c'est retaper le lien dans un navigateur sur pc au cas ou.

Avatar de KP2 Abonné
Avatar de KP2KP2- 08/10/20 à 08:45:19

Kroezensjtern a écrit :

J'espère qu'en 2020 on peut visiter un lien sans craindre son contenu, tout de même.

AHAHAHAHAHAHAHA :mdr2: :mdr2: :mdr2: :mdr2:

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 08/10/20 à 08:46:08
Raikiwi

Pluzun, je me méfie toujours comme la peste des liens raccourcis. C'est une vraie plaie.

Après, les liens de 3km de long qui seront tronqués par l'affichage c'est pas mieux.... Difficile d'avoir un juste milieu.

Avoir une indication du nom de domaine vers lequel le lien pointe me semblerait être un minimum de nos jours... Avec à minima une validation de la chaine de certification qui permette de se rassurer en disant "oui c'est bien lui". (avec le niveau de confiance qui l'accompagne, évidemment)

Édité par SebGF le 08/10/2020 à 08:47
Il n'est plus possible de commenter cette actualité.
Page 1 / 7