Surfer par-dessus l'épaule : attention à l’œil de lynx qui observe votre téléphone, dit ESET
Publié le 02/02/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 2 février 2022 - Nous vivons à l’âge de la connectivité et nos vies super actives et axées sur le mobile nous exposent à des risques. Pour beaucoup, c'est la perspective du phishing, des maliciels déployés à distance et d'autres risques en ligne qui sont la plus grande menace pour les données personnelles et professionnelles. Mais l'activité criminelle c’est plus que des bits et des octets. D’anciennes méthodes tel le surf par-dessus l'épaule ou la fouille des poubelles offrent d’excellents bénéfices et de nombreux escrocs tentent le coup.
Le surf par-dessus l'épaule existe depuis plus longtemps que les smartphones et ordinateurs portables. Il suffit de demander à quelqu’un qui s'est fait voler le code PIN de sa carte de crédit ou les codes de sa carte téléphonique par des passants peu scrupuleux. Mais aujourd'hui, il y a encore plus de moyens pour se remplir les poches.
Nos vies pressées et multi-connectées sont un aimant pour les surfeurs d'épaule. Mais de petits changements de comportement peuvent suffire à assurer notre sécurité.
Un ou deux récits édifiants
Généralement, nous minimisons le surf par-dessus l'épaule. Nous pensons pouvoir repérer quelqu'un se cachant derrière nous, les yeux rivés sur notre écran. Mais les escrocs ne doivent avoir de la chance qu'une seule fois. Et nous leur donnons cette chance tout au long de la journée de travail, surtout maintenant que la société s'ouvre à nouveau.
Jake Moore, Global Cybersecurity Advisor d'ESET, a récemment révélé qu’à deux occasions il a réussi à obtenir les informations de connexion de comptes en ligne d'amis, avec leur accord préalable. Ses recherches démontrent à quel point nous sommes exposés à des attaquants avertis, en particulier dans des environnements informels comme les bars, cafés et restaurants.
1. Surfer sur Snapchat
Lors d’un premier essai, Jake a parié avec une amie qu'il pourrait détourner son compte Snapchat, même protégé par une authentification à deux facteurs. À l'aide de la fonction de réinitialisation du mot de passe, il a saisi son numéro de téléphone et sélectionné l'option d’obtenir, par message, un code de confirmation. En surfant sur le message de confirmation qu'il a reçu sur son écran, il a pris le contrôle total du compte. Même un deuxième code SMS envoyé en guise de confirmation a été ignoré par la titulaire du compte mais observé et saisi par Jake.
Un attaquant peut donc ne pas connaître le numéro de téléphone de sa victime, mais il peut le trouver en ligne à partir d’une foule de données précédemment piratés ou en utilisant des renseignements open source, y compris sur les réseaux sociaux. En appelant l'utilisateur et en prétendant être un employé de la société de médias sociaux, un escroc peut théoriquement inciter l'utilisateur à lui remettre son code SMS.
Ce n'est pas réellement du surf par-dessus l'épaule. Mais dans un bureau ou un établissement scolaire où collègues ou enfants se trouvent à proximité d'utilisateurs dont ils connaissent les numéros de téléphone, le "surf par-dessus l'épaule avec réinitialisation du mot de passe" devient un risque plus réel.
2. Problèmes avec PayPal
Jake a aussi parié avec un ami qu'il pourrait détourner un de ses comptes en ligne. Il est allé sur la page de connexion de PayPal pour demander une réinitialisation du mot de passe. Connaissant le mail de l'utilisateur, il l'a tapé et a sélectionné l'option de contrôle de sécurité du code SMS envoyé sur son téléphone. Comme dans l'exemple ci-dessus, une fois le code obtenu, Jake a pu espionner secrètement l'appareil de son ami. Ainsi, il avait accès à l'intégralité de son compte.
Qu'est-ce que cela peut signifier pour vous ?
Dans de nombreux cas, la barre de sécurité est encore trop facile à franchir pour les escrocs, surtout s'ils ont les yeux rivés sur votre ordinateur portable ou votre appareil. Nous sommes trop nombreux à permettre aux notifications d’apparaitre sur nos écrans. Peut-être sommes-nous devenus si insensibles que nous les ignorons. Mais ceux qui regardent par-dessus notre épaule ne le sont pas.
C’est très intéressant que, dans l'exemple PayPal ci-dessus, la victime soit un vétéran de la cyber-sécurité depuis plus de 20 ans. S'il peut se faire arnaquer ainsi, beaucoup d'autres peuvent l’être aussi et une fois qu'un escroc a accès à votre compte, il peut :
· Changer les identifiants puis vous extorquer pour qu'il puisse retrouver l'accès
· Utilisez des techniques de force brute pour essayer les mêmes mails/logins et accéder à d'autres comptes
· Voler vos informations personnelles pour les utiliser dans des tentatives ultérieures d'usurpation d'identité ou d'hameçonnage
· Accéder à des fonds et les détourner vers ses propres comptes
· Vous troller et vous intimider en publiant du contenu inapproprié à partir de son compte.
Que faire pour éviter le surf par-dessus l'épaule
L'impact d'un piratage de compte peut durer plusieurs mois. Si des escrocs ont réussi à voler des fonds et des informations personnelles, vous risquez de subir de nombreuses tentatives de phishing au cours des mois suivants. Récupération de fonds perdus et réinitialiser dee cotes de crédit peuvent prendre encore plus de temps. Voici quelques stratégies d'atténuation :
1. Ne réutilisez jamais les mots de passe d'un compte à l'autre et utilisez un gestionnaire de mots de passe pour stocker des données d'identification uniques et fortes. Activez l'authentification multi facteur (MFA). Choisissez une appli d'authentification (comme Google Authenticator, Microsoft Authenticator) plutôt que l’option code SMS.
2. Soyez toujours vigilant lorsque vous vous connectez à vos comptes en public. Cela peut être: cesser de travailler en avion, en train, dans des aéroports, des halls d'hôtels bondés, etc. Ou alors, travaillez dos au mur.
3. Utilisez un écran de confidentialité sur les ordinateurs portables afin que quiconque essaie d'espionner votre écran sous un angle ne puisse rien voir.
4. Désactivez les notifications à l'écran pour les messages, e-mails et alertes afin d'arrêter le type d'attaque que Jake a illustré ci-dessus. Si quelqu'un entre et ce n'est pas vous, enquêtez immédiatement.
5. Cela va sans dire, mais ne laissez jamais un appareil sans surveillance dans un espace public. Assurez-vous qu'il est verrouillé par un mot de passe fort.
Le surf par-dessus l’épaule est encore largement sous-estimé. Cela ne veut pas dire pas que c’est plus susceptible de vous arriver qu'une attaque de phishing. Mais les mêmes règles s'appliquent. Soyez à l'affût. Soyez prêt. Et pratiquez la sécurité avant tout.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?