Phishing aux Assises de la sécurité : comment Lookout a piégé les exposants

Lookout Assises phishing

Monaco, Assises de la sécurité – Alerte sans frais pour une centaine de personnes figurant sur la liste des exposants… et victimes d’une campagne de phishing mobile « pédagogique » orchestrée par Lookout.

Peut-on hameçonner les principaux acteurs du secteur de la sécurité, réunis aux Assises de Monaco ? La réponse est oui, selon Lookout.

L’éditeur a mené une campagne de phishing mobile en amont de l’événement. Sa cible : 199 personnes présentes sur la liste des exposants. Dans l’absolu, les résultats sont surprenants : 48,74 % de taux de clic sur le lien malveillant envoyé. L’hypercontextualisation de la démarche y a contribué.

DGCXPÀ la base, il y a le trombinoscope des Assises – accessible uniquement à qui dispose d’un espace personnel. Lookout y a trouvé 214 numéros de téléphone importés depuis LinkedIn. Les 199 encore valides ont permis de constituer l’échantillon cible.

La campagne a consisté à adresser à chacun de ces numéros une URL personnalisée raccourcie avec Bitly. Tout en se faisant passer pour un expéditeur de confiance. En l’occurrence, DGCXP, qui avait précédemment sollicité les exposants pour le renouvellement de leurs stands.

Un contexte de confiance

DGCXP messageLe message contenant l’URL était le suivant : « Bonjour, un participant du salon vous a adressé une demande de RDV 1-to-1, pour voir et confirmer le RDV [URL] ».

Pour les victimes, les conséquences se sont limitées à un message d’avertissement sur le phishing. « Nous aurions pu réellement nous faire passer pour le portail des Assises et demander le login/mot de passe pour qu’ils accèdent à la plate-forme », explique Lookout. Et d’ajouter : « Voire demander d’installer une fausse application des Assises. »

message phishing

Au-delà du pourcentage de cibles piégées, on aura noté leur temps de réaction : une trentaine ont cliqué dans les 60 secondes suivant l’envoi (planifié à 9 h 14).

taux clics

Sur l’ensemble des victimes, 34,3 % se présentent comme des commerciaux ; 29,4 %, comme des directeurs ; 23,5 %, comme des ingénieurs.
Leurs principaux domaines d’activité dans la sécurité sont le réseau (21,6 %), les terminaux (21,6 %), le conseil (16,7 %), la gouvernance (13,7 %) et la mobilité (10,8 %).

victimes Lookout phishing Assises

Illustration principale © Tanusha – Fotolia