Recrudescence des campagnes de phishing ciblées visant les utilisateurs Apple

01 juin 2013
Actualités Virus

  • Le nombre de spams contenant des liens vers des sites Web frauduleux est en augmentation, de même que les vols d’identifiants Apple et de numéros de cartes de crédit.
  • Alors qu’en 2011 le réseau Kaspersky Security Network[1] avait enregistré en moyenne 1000 attaques de ce type par jour, la moyenne journalière atteint aujourd’hui 200 000.


Pour visualiser l’intégralité de l’iconographie, rendez-vous sur
bit.ly/16L8gGm


Le succès attire souvent les contrefaçons, et Apple le découvre progressivement. Selon les informations rassemblées par Kaspersky Lab, le nombre d’attaques de phishing impliquant des répliques du site Web officiel de la marque, apple.com, a monté en flèche depuis le début de 2012. Depuis plusieurs mois, ces chiffres illustrent la recrudescence des tentatives d’appropriation frauduleuses des identifiants de comptes utilisateurs iCloud et iTunes ainsi que des numéros de cartes de crédit [2].

On note cependant d’énormes fluctuations d’un jour à l’autre, les cybercriminels faisant clairement et précisément coïncider leurs attaques de phishing avec les campagnes marketing d’Apple. Ainsi, le 6 décembre 2012, immédiatement après l’ouverture de boutiques iTunes en Inde, Turquie, Russie, Afrique du Sud et dans 52 autres pays, Kaspersky Lab a détecté un record historique d’attaques de phishing visant des utilisateurs Apple : plus de 900 000 en une seule journée.

Des e-mails sur-mesure pour piéger les utilisateurs Apple
Les méthodes utilisées par les cybercriminels pour accéder aux données des utilisateurs Apple sont loin d’être nouvelles. Ceux-ci leur envoient des e-mails prétendant provenir de l’adresse service@apple.com ou du Support Client Apple. Ces e-mails ont généralement un aspect professionnel, arborent le logo Apple et peuvent même contenir des liens vers des « FAQ » afin de convaincre les destinataires sceptiques. Ils comportent également des liens vers de faux sites Apple, où l’utilisateur est invité à saisir son identifiant et/ou mot de passe. Ces informations sont alors dérobées et détournées par des escrocs.

Dans une autre variante, des clients d’Apple se voient directement voler leur numéro de carte de crédit. La technique consiste à leur adresser un e-mail leur demandant de confirmer les informations concernant la carte de crédit associée à leur identifiant Apple (type de carte, numéro, date d’expiration, cryptogramme, date de naissance, voire d’autres détails permettant d’identifier le titulaire).

Reconnaître les sites de phishing
L’un des moyens de distinguer un site Web authentique d’une contrefaçon créée aux fins de phishing est de vérifier la barre d’adresse du navigateur. Si la plupart des sites contrefaits comportent bien les mots « apple.com » dans leur adresse (URL), les utilisateurs avertis doivent – avec un minimum d’observation – pouvoir détecter la supercherie en examinant l’adresse complète.

Les choses se compliquent lorsque la barre d’adresse n’est pas visible. C’est le cas sur le navigateur Safari utilisé sur des mobiles tels que l’iPhone et l’iPad. Des escrocs peuvent également construire des sites Web factices incorporant l’adresse légitime de l’original sous forme d’image affichée en haut de l’écran à l’emplacement attendu.

Comment les utilisateurs Apple peuvent se protéger des contrefaçons
Les utilisateurs doivent, en premier lieu, vérifier si les e-mails reçus, leur demandant de saisir certaines informations, proviennent bien d’Apple. Il suffit de faire glisser la souris sur le champ Expéditeur (« De ») pour découvrir sa véritable adresse. Le destinataire sera instantanément renseigné sur l’expéditeur.

Pour lutter contre les tentatives de fraude, Apple a également mis en place une procédure d’authentification en deux étapes pour la saisie des identifiants de ses utilisateurs [3]. Cette procédure consiste à envoyer un code de quatre chiffres à un ou plusieurs appareils appartenant à l’utilisateur et désigné au préalable par ce dernier. Cela offre un moyen de vérification supplémentaire et empêche un tiers de modifier le site « Mon identifiant Apple » ou d’effectuer des achats au nom d’un utilisateur à l’aide de son identifiant.

Malheureusement, cela n’évite pas l’utilisation par des cybercriminels de numéros de cartes de crédit volés. Les utilisateurs ne doivent en aucun cas suivre des liens pointant vers des sites Web à partir d’e-mails douteux mais plutôt saisir manuellement l’adresse du site légitime dans la fenêtre de leur navigateur. Ceux qui tiennent néanmoins à suivre de tels liens doivent soigneusement vérifier leur contenu ainsi que l’adresse du site auquel ils aboutissent. En outre, les utilisateurs de Mac peuvent installer un logiciel de sécurité tel que Kaspersky Security for Mac [4].

[1] L’analyse de Kaspersky Lab s’appuie sur des données anonymes collectées dans le cloud par le réseau Kaspersky Security Network (KSN). Les chiffres relevés durant la période allant du 1er mai 2012 au 30 avril 2013 ont été comparés à ceux de la période équivalente en 2011-2012. Les informations détaillées provenant de KSN sont disponibles dans le libre blanc suivant : http://www.kaspersky.com/images/KES8_Whitepaper_4_KSN.pdf.
[2] http://www.securelist.com/en/blog/8108/Apple_of_discord
[3] http://blog.kaspersky.fr/apple-met-en-place-un-systeme-dauthentification-a-deux-facteurs/
[4] http://www.kaspersky.com/fr/security-mac

Pour plus d’informations sur les attaques de phishing visant les clients d’Apple, consultez le blog http://www.securelist.com/en/blog/8108/Apple_of_discord

  PARTAGER