Semalt: les astuces les plus sophistiquées utilisées par les cybercriminels pour accéder à votre compte de messagerie

Nous sommes en 2017 et la menace que quelqu'un reprenne votre compte de messagerie est réelle. Très réel. Quelqu'un en ce moment est amené à remettre l'accès à son e-mail à un inconnu. En d'autres termes, les attaquants compromettent les comptes Yahoo Mail, Gmail et Hotmail avec un peu d'ingénierie sociale et un message texte.

Ivan Konovalov, Semalt Customer Success Manager, déclare que les escroqueries les plus efficaces sont très faciles à exécuter. Prenons l'exemple d'un escroc qui se déguise en flic. S'il vous arrêtait et vous ordonnait de sortir de votre voiture et de remettre les clés, refuseriez-vous? Bien sûr que non. La personne moyenne le ferait sans poser de question. Il n'est pas surprenant que l'usurpation de l'identité d'un flic soit l'une des infractions les plus graves partout dans le monde. L'escroquerie policière a deux choses: c'est simple, et les gens ont tendance à faire confiance aux figures d'autorité. Ce sont les qualités qu'utilisent les cybercriminels.

Dernièrement, une tendance est apparue. Il s'agit d'une arnaque par hameçonnage ciblée sur les utilisateurs mobiles. Le but de cette arnaque est d'accéder à votre compte de messagerie. C'est une simple attaque d'ingénierie sociale pour laquelle des millions de personnes tombent amoureux.

Un pirate informatique (méchant) n'a besoin que de connaître votre adresse e-mail et votre numéro de téléphone. Étonnamment, ceux-ci sont faciles à obtenir. Ils profitent du système d'authentification à deux niveaux proposé par la plupart des fournisseurs de services de messagerie. Ce système permet aux utilisateurs de réinitialiser leurs mots de passe en envoyant un code ou un lien vers leur numéro de téléphone mobile.

Un exemple classique de l'arnaque en action: la prise de contrôle du compte Gmail

Dans ce cas, il y a deux parties: Anne (propriétaire du compte Gmail) et Dan (le méchant). Anne choisit d'enregistrer son numéro auprès de Gmail afin qu'à chaque fois qu'elle soit verrouillée du compte, un code de vérification soit envoyé à son numéro de mobile. Dan, d'autre part, a traqué Anne et connaît son numéro de téléphone mobile (peut-être à partir de son compte sur les réseaux sociaux ou de n'importe où ailleurs en ligne).

Le méchant (Dan) veut avoir accès au compte Gmail d'Anne. Il connaît son nom d'utilisateur mais pas le mot de passe. Il entre le nom d'utilisateur puis clique sur «besoin d'aide» après avoir deviné un mot de passe. Il clique sur «Je ne me souviens pas de mon mot de passe», saisit l'adresse e-mail d'Anne, puis obtient une vérification sur mon téléphone. Un code de vérification à six chiffres est envoyé au numéro d'Anne. Dan envoie un SMS à Anne affirmant qu'il est un technicien de Google et qu'ils ont remarqué une activité inhabituelle sur le compte. Il lui demande de transmettre le code de vérification afin qu'ils trient le problème. Anne pense que c'est légitime, transmet le code de vérification. Dan utilise ce code pour accéder à son compte.

Lorsque le Dan a accès au compte, il peut faire n'importe quoi, y compris réinitialiser le mot de passe et changer l'option de récupération. C'est une prise de contrôle complète. Ce qui suit ensuite est insondable. Pour être à l'abri de ce schéma, ne donnez jamais de codes de vérification à personne. En fait, si vous ne l'avez pas demandé, notez que quelqu'un n'est pas bon.