Pour gérer vos consentements :
Categories: Sécurité

Phishing aux Assises de la sécurité : comment Lookout a piégé les exposants

Peut-on hameçonner les principaux acteurs du secteur de la sécurité, réunis aux Assises de Monaco ? La réponse est oui, selon Lookout.

L’éditeur a mené une campagne de phishing mobile en amont de l’événement. Sa cible : 199 personnes présentes sur la liste des exposants. Dans l’absolu, les résultats sont surprenants : 48,74 % de taux de clic sur le lien malveillant envoyé. L’hypercontextualisation de la démarche y a contribué.

À la base, il y a le trombinoscope des Assises – accessible uniquement à qui dispose d’un espace personnel. Lookout y a trouvé 214 numéros de téléphone importés depuis LinkedIn. Les 199 encore valides ont permis de constituer l’échantillon cible.

La campagne a consisté à adresser à chacun de ces numéros une URL personnalisée raccourcie avec Bitly. Tout en se faisant passer pour un expéditeur de confiance. En l’occurrence, DGCXP, qui avait précédemment sollicité les exposants pour le renouvellement de leurs stands.

Un contexte de confiance

Le message contenant l’URL était le suivant : « Bonjour, un participant du salon vous a adressé une demande de RDV 1-to-1, pour voir et confirmer le RDV [URL] ».

Pour les victimes, les conséquences se sont limitées à un message d’avertissement sur le phishing. « Nous aurions pu réellement nous faire passer pour le portail des Assises et demander le login/mot de passe pour qu’ils accèdent à la plate-forme », explique Lookout. Et d’ajouter : « Voire demander d’installer une fausse application des Assises. »

Au-delà du pourcentage de cibles piégées, on aura noté leur temps de réaction : une trentaine ont cliqué dans les 60 secondes suivant l’envoi (planifié à 9 h 14).

Sur l’ensemble des victimes, 34,3 % se présentent comme des commerciaux ; 29,4 %, comme des directeurs ; 23,5 %, comme des ingénieurs.
Leurs principaux domaines d’activité dans la sécurité sont le réseau (21,6 %), les terminaux (21,6 %), le conseil (16,7 %), la gouvernance (13,7 %) et la mobilité (10,8 %).

Illustration principale © Tanusha – Fotolia

Share
Published by
Clément Bohic
Tags: Lookoutphishing
4 années ago

Recent Posts

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

1 jour ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

2 jours ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

2 jours ago

IA générative : les lignes directrices de l’ANSSI

Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…

2 jours ago

De la marque blanche à l’« exemption souveraine », Broadcom fait des concessions aux fournisseurs cloud

À la grogne des partenaires VMware, Broadcom répond par diverses concessions.

3 jours ago

iPadOS finalement soumis au DMA

iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.

3 jours ago