Une étude conduite par Zimperium souligne une augmentation notable des cyberattaques sur les smartphones, en particulier dans les milieux professionnels.

Principales marques visées par le mishing, on retrouve Microsoft et Facebook.

Les cyberattaques ciblant les utilisateurs de téléphones mobiles sont en pleine recrudescence, essentiellement par le biais d’une technique appelée mishing. Ce type de phishing (ou hameçonnage) cible spécifiquement les appareils mobiles, exploitant leurs faiblesses pour escroquer les utilisateurs et dérober leurs informations personnelles. Une menace qu’il est crucial de connaître afin de s’en défendre, tant pour les particuliers que pour les professionnels.

Qu’est-ce que le mishing et pourquoi une telle progression ?

Le terme “mishing”, un mot-valise combinant “mobile” et “phishing”, désigne des attaques d’hameçonnage ciblant les utilisateurs via leur téléphone portable. Ces attaques peuvent se manifester sous la forme de SMS frauduleux (smishing), d’appels téléphoniques malveillants (vishing) ou encore de courriels pièges (phishing). Bien que similaires aux attaques visant les ordinateurs, les campagnes de mishing sont développées pour être particulièrement redoutables sur les mobiles, tels que les smartphones.

La popularité croissante du mishing est principalement due à l’explosion du nombre d’utilisateurs de smartphones, qui ont maintenant dépassé les 6,8 milliards à l’échelle mondiale. Parallèlement, l’utilisation des téléphones portables pour des activités professionnelles a également augmenté, avec plus de 71 % des salariés utilisant leur mobile pour des communications professionnelles ou accéder à des données de l’entreprise. Cette adoption massive des appareils mobiles dans le cadre professionnel, souvent couplée à une protection inadéquate, en fait une cible attractive pour les cybercriminels. Zimperium, dans son Global Mobile Threat Report 2024, indique que 82 % des sites de phishing sont à présent optimisés pour les mobiles.

Comment se protéger contre le mishing et sécuriser son téléphone ?

Pour ceux travaillant dans le secteur numérique, il est crucial de protéger leurs entreprises et leurs utilisateurs contre le mishing. Voici quelques bonnes pratiques à appliquer, valables aussi pour le grand public :

Sensibilisation des utilisateurs :

Informer les collaborateurs, ou vos proches, des méthodes pour reconnaître le mishing est essentiel. Ils devraient être formés à identifier les signaux avant-coureurs comme des liens douteux, des fautes d’orthographe ou des requêtes urgentes de données personnelles.

Authentification multifactorielle :

La mise en place de l’authentification multifactorielle renforce la sécurité, compliquant l’accès aux comptes pour les cybercriminels, même après avoir obtenu des identifiants par mishing. Couplée à un gestionnaire de mots de passe, cette méthode consolide encore davantage la sûreté des appareils.

Systèmes de sécurité mobile :

Adopter des solutions de défense mobile telles que la détection des menaces sur les appareils (MTD) permet de repérer et bloquer les attaques avant qu’elles n’atteignent les utilisateurs.

Mises à jour régulières :

Les vulnérabilités des systèmes d’exploitation mobile sont souvent exploitées lors d’attaques de mishing. Vérifiez que tous les dispositifs soient actualisés avec les derniers patchs de sécurité.

Filtrage des sites malveillants :

Implémenter des systèmes de filtrage et de blocage des URL malveillantes peut réduire significativement les risques pour les utilisateurs.

Utilisation du VPN :

Recommander l’usage d’un VPN pour crypter les connexions lorsque des employés accèdent à des informations sensibles sur des réseaux publics ou peu sécurisés permet de protéger les communications et de rendre plus ardu pour les cybermalfaiteurs d’intercepter des données, même sur des réseaux Wi-Fi publics.

Les meilleures options VPN

• NordVPN
• Surfshark VPN
• VPN Avast SecureLine
• Atlas VPN

Les cybercriminels usent souvent de l’image de grandes marques pour crédibiliser leurs assauts et abuser des utilisateurs. Ces dernières années, plusieurs enseignes sont devenues les cibles privilégiées des campagnes de mishing. Voici les marques les plus visées selon les régions mondiales, selon le document de Zimperium :

• Amérique du Nord : Microsoft est la marque la plus copiée avec 57 % des attaques, suivie de WhatsApp et Facebook.
• Amérique du Sud : WhatsApp se place en tête avec 33 % des attaques, suivie par des banques locales telles que DenizBank.
• EMEA (Europe, Moyen-Orient, Afrique) : Gazprom, Facebook et Instagram sont les marques les plus contrefaites.
• APAC (Asie-Pacifique) : Bet365, Facebook et Garena dominent dans ces campagnes.

Les pirates misent sur la notoriété et la confiance des utilisateurs envers ces marques pour les inciter à cliquer sur des liens malveillants ou divulguer des données personnelles sensibles.