Pour rappel, le phishing ou hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels destinés à usurper l'identité de la victime. Le fraudeur tente de faire croire à la victime qu'elle s'adresse à une société ou une personne de confiance (banque, administration, service de paiement en ligne...) afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance...
Cette technique n'est pas nouvelle et j'en ai parlé à plusieurs reprises sur ce blog.
Ce qui est par contre nouveau, c'est d'utiliser le téléphone pour arriver au même résultat. Son nom : Phone-by-Download. Même si le mode de contact est différent, la méthode et l'objectif final sont identiques : les pirates vont piéger une page internet et s'en servir pour infecter les internautes qui viendront la visiter.
Lors de l'appel téléphonique, le pirate va utiliser un prétexte quelconque (une mise à jour de sécurité, une perte de données...) pour avertir la victime de l'existence d'un problème. La solution proposée consiste à se rendre sur le site infecté afin d'y télécharger et d'installer l'application salvatrice.
Et comme de bien entendu, la victime va accéder à cette demande et installer elle-même le code malicieux. Si cette méthode ne permet pas d'infecter des ordinateurs de manière massive, elle permet de viser une personne ou une société particulière et de contourner la méfiance que certains internautes commencent à éprouver pour ce genre de demande faite par mail.
Jeu de briques
Snake
Pacman
Bubble