iPhone : les pirates ont trouvé un moyen très simple de contourner la sécurité anti-phishing d’iMessages

Des cybercriminels ont trouvé une astuce simple, mais très efficace, pour contourner les systèmes de sécurité anti-phishing instaurées par Apple sur iMessages. 

Depuis de nombreuses années, le smishing est une technique appréciée par les pirates pour cibler les utilisateurs directement sur leur smartphone. Pour les néophytes, le smishing est la contraction de SMS et de phishing et ce terme désigne ni plus ni moins que l'hameçonnage par SMS. 

Le principe est simple, les pirates détournent généralement l'identité d'un service tiers (plateformes de streaming, opérateurs de téléphonie, banques, etc.) ou d'une institution comme l'Assurance Maladie, l'ANTAI ou l'URSAFF pour cibler les utilisateurs les moins vigilants. Dans ces faux SMS, les escrocs prétextent une erreur de paiement, un colis égaré, une amende à payer ou n'importe quelle autre raison valable pour vous inciter à cliquer sur le lien vérolé contenu dans le corps du texte. Leur but ? Obtenir vos données personnelles, vos coordonnées bancaires ou vos identifiants à certains services. 

Pour protéger ses utilisateurs contre ce genre d'arnaques, certains constructeurs ont instauré des protocoles de sécurité bien spécifiques. C'est le cas d'Apple sur iMessages, l'appli se chargeant de désactiver automatiquement les liens contenus dans des messages provenant d'un expéditeur inconnu.

A lire également : Méfiez-vous de cette arnaque par SMS, elle contient un lien Web dangereux

Des pirates ont trouvé une méthode pour contourner la sécurité d'iMessages

Cependant et comme l'expliquent nos confrères de Bleeping Computer, des pirates ont récemment trouvé une faille dans ce système. Pour cause, il s'avère que cette sécurité peut être contournée si un utilisateur répond à un message d'origine inconnue ou s'il ajoute l'expéditeur à sa liste de contacts. 

Résultat, de plus en plus d'adeptes du smishing cherchent à pousser les utilisateurs à répondre à leurs SMS vérolés, dans le but de réactiver les liens. Le média a d'ailleurs partagé quelques captures d'écran de plusieurs faux SMS, dans lesquels les pirates demandent explicitement à leurs cibles d'envoyer une simple lettre en guise de réponse pour activer les liens :

“Veuillez répondre O, puis quittez le message texte, rouvrez le lien d'activation du message texte ou copiez le lien dans le navigateur Safari pour l'ouvrir”, peut-on par exemple lire dans l'un des messages de smishing.

Comme le souligne bien le média, les utilisateurs qui ont pris l'habitude de répondre machinalement STOP ou NON pour se désinscrire d'une boucle promotionnelle par SMS ou autre pourront facilement tomber dans le piège tendu par les pirates. Si vous recevez ce genre de SMS, évitez à tout prix de cliquer sur le moindre lien, et contactez plutôt directement l'entreprise ou l'organisation qui prétend être à l'origine du message. De cette manière, vous pourrez vous assurer de sa légitimité ou non.

Source : Bleeping Computer