Un nouveau type de cybermenace de phishing vient d’être découvert par la firme de cybersécurité ESET, exposant gravement les utilisateurs d’iPhone et d’Android. Cette technique sophistiquée, exploitant les applications web progressives (PWA), compromet la sécurité mobile des informations bancaires et personnelles des victimes.
L’Ingénierie Sociale Derrière cette Menace de Phishing
Les attaques de phishing traditionnelles redirigent les victimes vers de faux sites web pour leur soutirer des informations sensibles. Cependant, cette nouvelle approche va plus loin en utilisant les PWAs. Ces applications, qui se comportent comme des applications mobiles autonomes installées directement depuis un navigateur web, permettent aux cybercriminels de créer des logiciels frauduleux qui paraissent légitimes mais sont conçus pour voler des données confidentielles telles que les identifiants bancaires.
Une PWA peut envoyer des notifications push et accéder aux fonctionnalités du téléphone, imitant parfaitement le fonctionnement d’une vraie application bancaire. Ce qui rend cette méthode de phishing particulièrement pernicieuse, c’est qu’elle permet l’installation de ces applications sans nécessiter l’approbation explicite de l’utilisateur, contournant même les protections strictes d’écosystèmes aussi contrôlés que celui d’Apple, y compris la sécurité iOS.
Le Mode Opératoire des Cybercriminels
Pour déployer ces attaques, les cybercriminels utilisent des techniques d’ingénierie sociale telles que la diffusion de liens malveillants via des appels téléphoniques automatisés, des SMS malveillants, et des publicités frauduleuses sur les réseaux sociaux (malvertising). Une fois la victime piégée, elle est dirigée vers une fausse version des boutiques d’applications comme le Google Play Store ou l’Apple App Store.
Sur Android, l’installation de cette application crée une version simulée de l’application bancaire native, tandis que sur iOS, les utilisateurs sont invités à ajouter la PWA à leur écran d’accueil. Ces applications usurpées sont quasiment identiques aux véritables applications bancaires, rendant difficile pour l’utilisateur de détecter la supercherie et de se protéger contre cette fraude en ligne.
Impact et Prévention dans le Secteur Financier
Cette nouvelle menace de cybercriminalité impose aux entreprises, notamment dans le secteur financier, d’informer leurs clients sur les risques associés à l’installation de PWAs provenant de sources non officielles. La protection des données et la surveillance régulière des activités suspectes sont essentielles. Il est impératif de collaborer étroitement avec les experts en cybersécurité financière pour identifier et neutraliser rapidement toute nouvelle campagne de phishing.
Des campagnes de sensibilisation sont nécessaires pour aider les utilisateurs à identifier les demandes d’installation suspectes. Les entreprises doivent insister sur l’importance de télécharger des applications uniquement via des canaux officiels et d’utiliser des méthodes d’authentification robustes comme le verrouillage biométrique pour renforcer la sécurité des nouvelles installations d’applications.
Cas Documentés et Propagation de la Menace
Les premiers cas d’utilisation de cette technique ont été observés en juillet 2023 en Pologne, suivis par une deuxième campagne en République tchèque en novembre. Des rapports indiquent également des campagnes en cours en Hongrie et en Géorgie. La nature multiplateforme des PWAs signifie que ces attaques peuvent potentiellement toucher un nombre beaucoup plus important de personnes à travers différents systèmes d’exploitation mobiles.
Pour convaincre les victimes de cliquer sur un URL piégé, les attaquants exploitent l’image de banques existantes via des techniques de hameçonnage mobile sophistiquées, rendant la menace difficile à contrer.
Vigilance et Adaptation Face aux Menaces Évolutives
Le développement des techniques de phishing via les PWAs représente une nouvelle étape inquiétante dans la lutte contre la cybercriminalité. Ces méthodes avancées exploitent les vulnérabilités mobiles, trompant efficacement les utilisateurs pour obtenir leurs informations personnelles sans les signaux d’avertissement habituels associés aux attaques de phishing traditionnelles.
Il est crucial pour les entreprises de rester vigilantes, d’adapter continuellement leurs stratégies de sécurité mobile, et de maintenir une collaboration étroite avec les consommateurs pour réduire les risques liés à ces attaques insidieuses et sophistiquées.