La semaine dernière, le nombre de cyberincidents signalés en Suisse a explosé. Cela s'explique notamment par une vague massive de SMS non sollicités qui a débuté le 12 octobre et a duré plusieurs jours. Les criminels ont envoyé des masses de spams frauduleux à des numéros de téléphones mobiles locaux dans l'espoir de les pirater.
Les pirates informatiques ont tenté de faire passer le dangereux cheval de Troie «FluBot » qui cible les comptes bancaires via les smartphones des utilisateurs d'Android, tandis que ceux d'iOS étaient attirés vers des sites Web frauduleux.
Le malware FluBot, relativement récent, est potentiellement extrêmement dangereux, car il peut, par exemple, intercepter le SMS contenant le code de sécurité envoyé par la banque lors des opérations en ligne. Le cheval de Troie compromet ainsi la protection liée à l'authentification à deux facteurs, à condition que la victime se connecte par code SMS.
Les chevaux de Troie mobiles, comme «FluBot», sont également utilisés pour pirater les comptes de messagerie et les portefeuilles de bitcoins ou pour accéder aux données saisies dans les formulaires de carte de crédit.
Les cybercriminels ont été particulièrement actifs la semaine dernière, comme le montre la dernière évaluation du Centre national de cybersécurité (NCSC) de l'Administration fédérale (ici 👇). L'organisation de lutte contre la cybercriminalité a reçu 832 signalements de divers cyberincidents en l'espace d'une semaine - un record absolu cette année.
Le cheval de Troie Android «FluBot», qui est de retour après une première vague en juin, est en grande partie responsable de ce record. La semaine dernière, le NCSC a reçu plus d'une centaine de signalements de SMS frauduleux demandant au destinataire d'écouter un message vocal via un lien fourni.
De nombreux rapports font également état d'une deuxième vague de pourriels annonçant des investissements en bitcoins. Par exemple, des publicités frauduleuses à l'effigie du conseiller fédéral Ueli Maurer (UDC) circulent sur le net 👇.
La dernière fois que les experts fédéraux en cybercriminalité ont observé un volume aussi élevé de rapports, c'était au début de l'année. Un coup d'œil sur cybercrimepolice.ch montre également que la vague de fraude actuelle est exceptionnellement intense.
Trois cent quinze rapports pour des logiciels malveillants, en une semaine, c’est exceptionnel. Normalement, ce chiffre est inférieur à dix. Pour se rendre compte 👇.
A titre de comparaison: Lorsque le cheval de Troie de chantage «Qlocker» a attaqué des particuliers lors d'une vague précédente et déjà qualifiée de majeure, en avril, le NCSC n'a reçu «que» 39 rapports.
A noter: Il ne s'agit pas seulement de signalements de dommages, mais surtout de signalements précoces. Autrement dit, les gens ont flairé le piège et le malware n'a pas eu le temps de faire des dégâts, explique le NCSC.
La vague d'attaques «FluBot» a été massive, mais selon les experts en cybercriminalité, elle n'a pratiquement pas causé de dégâts. Quasiment personne n'a téléchargé le logiciel malveillant.
Cependant, le fait que des criminels envoient à plusieurs reprises des SMS de spam avec des liens vers le cheval de Troie e-banking «FluBot» et ce, dans de nombreux pays, depuis fin 2020, suggère que l'arnaque en vaut la peine. Même si, globalement, une très faible proportion des destinataires tombent dans le piège.
En tant qu'utilisateur de smartphone, vous ne pouvez pas faire grand-chose contre ce genre de tentatives. Bloquer les numéros est inutile, car ils changent constamment.
Swisscom, Sunrise et Salt tentent de lutter contre le phishing et les SMS malveillants en bloquant notamment les adresses IP. Toutefois, comme elles changent fréquemment, c'est un éternel jeu du chat et de la souris avec les criminels.
Si des vagues de spam sont découvertes, les fournisseurs peuvent, au moins, bloquer assez rapidement les sites web utilisés pour diffuser des logiciels malveillants. Les utilisateurs continuent donc à recevoir des messages de spam, mais les liens ne sont plus dangereux.
En outre, les SMS potentiellement dangereux font l'objet d'un avertissement dès qu'ils ont été signalés comme spam un nombre suffisant de fois (le petit signe danger ici 👇).
Le Centre national de cybersécurité précise:
Ainsi, le cheval de Troie vole le code de vérification du SMS et la victime ne remarque rien de la fraude, car le malware rend invisible le SMS de vérification de la banque lors de la connexion au compte e-banking.
Via un message court – SMS, WhatsApp, etc. – , le destinataire est invité à écouter un vocal censé être stocké sous le lien donné. En cliquant sur le lien, le destinataire accède à un site web portant le logo de son propre opérateur de téléphonie mobile. Un message vocal s'y affiche, mais la victime est invitée à télécharger la nouvelle application de messagerie vocale du fournisseur pour pouvoir l'écouter.
Pour ce faire, vous devez activer l'installation d'applications inconnues dans les paramètres du système d'exploitation (Android bloque autrement l'installation d'applications provenant de sources inconnues 👇).
«Votre annonce nous permet de détecter d'éventuelles tendances liées aux dangers sur Internet et d'agir de manière ciblée», indique le NCSC.
Quelques autres conseils utiles:
«Le malware lui-même est caché profondément dans le système d'exploitation infecté et ne peut presque pas être complètement désinstallé. La réinitialisation du système d'exploitation aux paramètres d'usine est la seule méthode sûre pour se débarrasser du malware», écrivent les experts fédéraux en cybercriminalité.
Important: La réinitialisation n'est nécessaire que si vous avez effectivement installé le cheval de Troie à l'aide du lien reçu et accordé à l'application les autorisations requises. Pour rappel, l'installation d'applications provenant d'une source inconnue, c'est-à-dire en dehors du Play Store, n'est possible avec Android que si tous les avertissements du système d'exploitation sont ignorés et que le mécanisme de protection est désactivé manuellement. Les criminels tentent donc de tromper leurs victimes avec de nouvelles astuces pour contourner eux-mêmes le mécanisme de protection.
La raison? Certes le malware ne peut pas être installé sur les appareils iOS, mais le lien dans le message redirige les utilisateurs d'Iphone vers des sites de phishing et de publicité frauduleux. On y trouve des pièges à abonnements, des offres d'investissements financiers douteuses ou de faux concours qui volent les données de contact.
Adapté de l'allemand par jah.