Une tromperie par ‘phone phishing’ cible Paypal

Les voyous de la technologie ne manquent pas d’imagination. Dans cette affaire révélée par Sophos et le journal

El Reg, les pirates utilisent le mail associé au téléphone pour récupérer des informations sensibles sur la carte de crédit des internautes qui utilisent le système de paiement en ligne Paypal.

La méthode décryptée par l’éditeur de sécurité reprend curieusement à son compte l’attaque récente par « phone phishing » (hameçonnage téléphonique) perpétré à l’encontre des utilisateurs de la banque américaine « Santa Barbara Bank & Trust ». L’approche est la même. Il y a donc deux explications, soit il s’agit du même groupe d’attaquants, soit cette pratique s’avère rentable et par conséquent plus habituelle.

Contrairement aux autres attaques qui ont ciblé Paypal et eBay par l’intermédiaire de mail de phishing classique renvoyant vers de faux sites mails, cette dernière introduit une nouvelle donne, le téléphone.

Rappelons qu’en cas de tentatives d’hameçonnage, les banques demandent généralement à leurs clients de ne pas communiquer par courrier électronique, mais plutôt de téléphoner. Peut-être que les pirates veulent surfer sur cette idée pour mettre en confiance leurs proies. Car d’une manière générale, il faut reconnaître que l’on a plus confiance dans son téléphone que dans l’internet.

L’attaque est raffinée puisque lorsque la cible compose le numéro indiqué sur le mail il tombe sur un enregistrement, que l’on peut écouter sur ce lien, qui lui demande son identité et des infos personnelles. Les détails sont vérifiés quasi instantanément et s’ils s’avèrent incorrects le message se relance.