Zimperium, leader mondial en sécurité mobile, a publié son Global Mobile Threat Report 2024 mettant en lumière la montée des menaces liées au phishing mobile, ou mishing, qui ciblent désormais 82 % des appareils mobiles des entreprises. Cette augmentation témoigne de la stratégie mobile-first des cybercriminels, visant des terminaux non sécurisés pour infiltrer les réseaux d'entreprises.

L'une des principales révélations du rapport est l'utilisation croissante du protocole HTTPS dans 76 % des sites de phishing, donnant aux utilisateurs un faux sentiment de sécurité. En parallèle, les malwares tels que les chevaux de Troie et les logiciels à risque continuent de représenter 80 % des menaces mobiles observées, avec une augmentation notable des échantillons de malwares de 13 % par rapport à l'année précédente.

Les applications sideloading, qui ne passent pas par les app stores officiels, sont également pointées du doigt comme une source majeure de menaces. Zimperium signale que 68 % des menaces mobiles dans le secteur financier sont liées à ces applications, les utilisateurs pratiquant le sideloading ayant 200 % plus de chances d'héberger des malwares sur leurs appareils.

Le rapport souligne également l'augmentation des vulnérabilités sur les plateformes Android et iOS, avec un bond de 58 % des CVE pour Android et 10 % pour iOS en 2023. Face à ces menaces croissantes, Zimperium recommande une stratégie de sécurité proactive pour les entreprises, au-delà des simples mises à jour de plateformes.

Si les internautes sont sensibilisés aux problèmes de « phishing » par mail, avec des arnaques plus ou moins sophistiquées, ils peuvent se laisser surprendre par des SMS arrivant directement sur leur téléphone portable.
 
Et depuis quelques mois, ce « phishing par SMS », également appelé « SMiShing », monte en puissance, notamment avec des messages liés à des commandes e-commerce (colis non reçu, suspension d’abonnement, etc..), et invitant les internautes à saisir leurs coordonnées postales.. et bancaires.
 
Selon Amélia Newson-Davis, directrice des services messaging, identité et paiements chez Orange France, près d'un tiers des messages frauduleux actuels concernent d'ailleurs des arnaques à la livraison. 
 
Si les opérateurs parviennent à filtrer une grande partie des messages frauduleux, envoyés automatiquement par des plates-formes utilisant des numéros courts, la tâche est beaucoup plus complexe quand ces SMS sont envoyés par de simples particuliers, depuis leurs propres téléphone mobiles.
 
Pour faire face à ce nouveau fléau, les opérateurs invitent les consommateurs à faire preuve de prudence, en détectant les SMS frauduleux, généralement envoyés par des SMS avec un numéro long, et comportant un lien web « exotique », ne correspond pas au véritable nom de domaine du service.
 
Outre cette démarche personnelle, les opérateurs ont également mis en place la plateforme, le "33700", qui permet aux consommateurs de dénoncer les émetteurs de SMS frauduleux, ce qui devrait conduire au filtrage, voire à la suppression des numéro incriminés.
 
Enfin, l’ARCEP, l’autorité de régulation des télécommunications vient de mettre en place un nouveau plan de numération visant à interdire l’usage de numéros longs en 06 ou 07 pour les usages marketing.
 
Des démarches qui n’éradiqueront pas le SMiShing, mais qui pourraient sérieusement compliquer la vie des fraudeurs.

@jerome75012 3 astuces pour se protéger du #smishing ♬ son original - Jérôme Bouteiller

Spécialiste de la sécurité sur mobile, LookOut annonce la publication de son 2020 Mobile Phishing Spotlight Report qui révèle que le taux d’occurrence des attaques de phishing sur mobile en entreprise ont augmenté de 37% entre le quatrième trimestre 2019 et le premier trimestre 2020. Le rapport montre également que les attaques de phishing sur mobile non décelées et contrées peuvent coûter pour des organisations disposant de 10.000 terminaux mobiles jusqu’à 35 millions de $ par incident, et jusqu’à 150 millions de $ pour des organisations possédant 50.000 terminaux mobiles. 
 
Le rapport met en évidence les différentes méthodes utilisées par les cyber criminels pour rendre leurs campagnes de phishing sur mobile plus lucratifs, et fournit des données sur les taux d’occurrence des attaques au niveau mondial et sur le risque financier potentiel par incident. Les taux d’occurrence des attaques sont décomposés par région, et par consommateur et entreprise, afin d’obtenir une compréhension complète de l’état actuel du phishing sur mobile.
 
Les principales conclusions du Lookout 2020 State of Mobile Phishing Spotlight Report comprennent :
●      Les taux d’occurrence des attaques de phishing sur mobile en entreprise calculés par trimestre montrent une croissance séquentielle de 37,1% au niveau mondial, ainsi que des croissances de 66,3% en Amérique du Nord, de 25,5% en zone EMEA et de 27,7% en Asie Pacifique.
●      Des exemples de risque financier potentiel allant jusqu’à 150 millions de $ pour des attaques non détectées dans des organisations des secteurs de la santé, de l’industrie manufacturière et des services juridiques.
●      L’examen complet d’une campagne de phishing en vraie grandeur qui a ciblé plus de 4.000 clients bancaires en Amérique du Nord.
●      Des exemples de diffusions d’attaques de phishing via une large variété d’applications mobiles dont les SMS, les médias sociaux et les applications de messagerie, en plus de l’email.
●      Les meilleures pratiques pour des organisations de toutes tailles afin de détecter et se protéger contre des attaques de phishing sur mobile.
 

“Les smartphones et les tablettes sont des terminaux de confiance qui se placent à l’intersection de l’identité personnelle et professionnelle de leur propriétaire,” a déclaré David Richardson, vice president of product management chez Lookout. “Les cyber criminels exploitent des méthodes d’ingénierie sociale pour duper leurs victimes afin de voler leurs identifiants et leurs données personnelles les plus sensibles.”

 
Aujourd’hui, le nombre de personnes travaillant en dehors de leur bureau atteint un nombre record. Afin de rester productifs, les employés se sont tournés vers les smartphones et les tablettes. Les attaques de phishing sont depuis quelques temps la méthode la plus couramment utilisée par les cyber criminels pour infiltrer une organisation, et les entreprises ont formé leurs employés et déployé des solutions de sécurité contre le phishing par email pour les contrer. Mais avec les terminaux mobiles, les risques d’attaques de phishing ne se cachent plus simplement dans les emails, mais dans les SMS, les applications de messagerie, et les plates-formes de médias sociaux. De plus, avec leur format plus petit et leur expérience utilisateur simplifiée, les terminaux mobiles rendent plus difficile la détection des signes d’un message et d’un lien de phishing – ce qui permet aux cyber criminels d’avoir un taux de succès plus élevé pour leurs attaques sur mobile comparé à celles sur ordinateur.
 

“Le phishing est devenu un problème de très grande ampleur qui s’étend bien au delà des traditionnelles campagnes par email," a ajouté Phil Hochmuth, program vice president of enterprise mobility chez IDC. "Sur un petit écran et avec une capacité limitée d’examiner des liens et des attachements avec de cliquer sur eux, les consommateurs et les employés en entreprise sont exposés à des risques d’attaques de phishing qui sont plus élevés que jamais. Dans un monde ‘mobile first’, le travail à distance devenant la norme, une défense proactive contre ces attaques est désormais d’une importance stratégique.”

Les similitudes entre une administration publique et n’importe quelle grande entreprise sont nombreuses : toutes deux comprennent de nombreux départements et dépendent de la souplesse et de l’accessibilité du cloud et des terminaux mobiles pour communiquer et fonctionner efficacement. Ces “qualités” partagées toutefois, qui sont essentielles pour garantir l’efficacité de toute grande organisation, les rendent aussi plus vulnérables aux attaques de phishing. Plus il y a d’employés, de terminaux, interactions et échanges d’informations, plus le risque est grand de rencontrer des incohérences et des vulnérabilités que des attaquants peuvent cibler et exploiter.
 
La gravité de ce problème ne peut être sous-estimée. Une récente enquête initiée par le Government Business Council aux Etats Unis a révélé que pas moins de 47% des employés du secteur public ont rencontré une attaque de phishing dans le cadre de leurs activités professionnelles sur un terminal mobile. Les données récoltées pour la France montrent que 51,3% des terminaux ont reçu au moins une attaque de phishing en 2019, tous secteur confondue. Pour empêcher ce chiffre d’augmenter, nous devons comprendre pourquoi les employés sont ciblés en masse.

Poussées par la nécessité, les évolutions culturelles et les nouveaux comportements de leurs employés, les administrations publiques se sont converties au monde ‘cloud-first, mobile-first’. En rendant les informations accessibles à partir de n’importe quel terminal, les employés peuvent travailler à distance avec une plus grande souplesse en étant plus productifs. Toutefois, les terminaux mobiles sont beaucoup plus difficiles à contrôler et à sécuriser que s’ils étaient connectés à un même réseau interne, spécialement si la moitié d’entre eux accèdent à leurs données via un réseau externe, comme l’a révélé une récente enquête du Government Business Council.

Ces résultats sont tous deux emblématiques d’une modification nécessaire de nos méthodes de travail, car les données sont désormais migrées dans le cloud, et les employés peuvent accéder aux informations à partir de différents types de terminaux, où qu’ils soient. En conséquence, les équipes de sécurité ont de plus en plus de mal à les protéger dans un environnement toujours plus disparate et vulnérable.

Pour les administrations publiques, le problème principal vient du décalage entre les politiques de sécurité définies en interne et la manière dont les employés les respectent. Si ces derniers travaillent à l’extérieur du réseau, il est quasi impossible de contrôler et gérer leur activité sans empiéter sur leur vie privée ou les mettre sous surveillance constante. Toutefois, l’incapacité à y parvenir peut-être préjudiciable. Par exemple, si un employé travaille depuis son téléphone portable et reçoit un SMS ou un message instantané de phishing, contenant un lien malveillant, il peut très facilement tomber dans le piège et cliquer dessus.

En fait, les utilisateurs ont trois fois plus de chances d’être victimes d’une attaque de phishing sur le petit écran d’un smartphone que sur un ordinateur. De même, il peut se connecter sur un ‘hotspot’ WiFi public non sécurisé dans un café, et exposer son terminal, et les informations professionnelles qu’il contient, aux attaquants à proximité. Donc, que peuvent faire les administrations françaises pour protéger leurs employés à distance s’ils ne respectent pas les règles à la lettre?

La réponse, en théorie, est assez simple : elles doivent mettre en place une solution de protection contre les menaces mobiles qui garantit la sécurité du terminal même lorsque les utilisateurs visitent un site web malveillant, installent une application risquée ou se connecte à un réseau wifi piraté. Ceci nécessite de déplacer la sécurité sur le terminal lui-même et d’adopter une solution de sécurité qui protège contre les attaques de phishing qui ciblent les utilisateurs via une variété de canaux, qu’il s’agisse de SMS, d’applications de messagerie, d’emails, de jeux ou de réseaux sociaux.

Mais dans le même temps, la solution de sécurité doit être discrète et non intrusive, de sorte que les utilisateurs puissent continuer à travailler avec leur téléphone avec confiance et souplesse. En contrôlant en continu la santé des terminaux qui accèdent à des informations sensibles de cette façon, le secteur public peut se protéger contre les attaques de phishing tout en profitant des avantages du monde ‘mobile-first, cloud-first’.