Nous avons tous entendu parler d’attaques de phishing, mais un nouveau type de hack d’ingénierie sociale
je suis tombé sur une vidéo Symantec qui explique une nouvelle façon dont les attaquants tentent d’accéder à votre compte de messagerie. L’idée est simple: si vous voulez réinitialiser le mot de passe de quelqu’un, tout ce dont vous avez vraiment besoin est son numéro de mobile.,y’re sur le point de recevoir un code pour s’assurer que leur compte Google est sécurisé et leur demander de répondre avec le code pour confirmer
avant de voir cette vidéo, je n’avais jamais pensé qu’une telle méthode soit utilisée pour accéder au compte de quelqu’un.,
quand j’avais imaginé un pirate utilisant l’ingénierie sociale pour accéder à mon compte, je l’avais imaginé appeler un service d’assistance pour le tromper en donnant mes informations ou simplement en m’envoyant un e-mail de phishing.
pour une raison quelconque, c’est un truc dangereusement puissant que même moi je serais probablement tombé pour si je n’en avais pas entendu parler.
la plupart des gens répondraient probablement à un numéro inconnu en supposant simplement que c’est vraiment l’entreprise, car recevoir des messages d’entreprises sur des numéros inconnus n’est pas si rare.,
avec l’avènement de services comme Twilio et Nexmo qui vous permettent d’envoyer un message directement depuis votre ordinateur avec peu de traces, il est beaucoup plus facile d’orchestrer ce type d’attaque, compte tenu des bonnes compétences.
je me demandais si cela pouvait être pris au niveau suivant-certains services vous permettent en fait d’envoyer un message texte qui identifie comme une entreprise ou une personne sur le téléphone de la victime — alors mis en route pour m’envoyer un message avec un nom familier plutôt qu’un numéro inconnu.,
dans les dix minutes qui ont suivi l’essai, je m’étais envoyé un message texte depuis le terminal de mon Mac en me faisant passer pour Google. C’est aussi simple que de prendre n’importe quel autre nom d’entreprise en changeant simplement un mot dans la commande.
C’est plus que suffisant pour tromper même certaines des personnes les plus intelligentes en répondant avec leur code de vérification, vous laissant finalement entrer dans leurs comptes., Il est trivial d’envoyer un message avec le nom d’une entreprise, donc cela pourrait être utilisé pour attaquer de nombreux services.
Cette attaque pourrait également être utilisée pour contourner les services qui utilisent l’authentification à deux facteurs, bien qu’il soit intéressant de noter que Google n’enverra pas de SMS pour votre deuxième facteur s’il est déjà configuré.
le problème avec ce type d’attaque est qu’il est relativement difficile d’arrêter, en dehors d’éduquer les gens à ne jamais répondre à toute sorte de SMS qui demande un mot de passe ou un code d’authentification.,
de nombreux services reposent désormais sur l’envoi D’un SMS pour vérifier l’identité de l’utilisateur si vous avez oublié votre mot de passe, car un téléphone est un appareil intime qui est le plus susceptible d’être avec vous. Ce type d’attaque d’ingénierie sociale montre qu’il est toujours incroyablement facile de tromper les gens qui n’ont aucun moyen de savoir tout mieux.
Si vous recevez un message d’un numéro quelconque vous demandant votre mot de passe, login, code de confirmation ou toute autre information personnelle, nous vous invitons à ne pas y répondre. Il n’y a tout simplement aucune raison pour que les entreprises demandent cela — ou toute autre information — par SMS.
