Après les faux sites web, les faux centres d'appels ? Des escrocs ont récemment utilisé les techniques de téléphonie sur IP pour recueillir les informations confidentielles de leurs victimes. Au delà de l'anecdote, les pirates pourraient bientôt profiter de la banalisation des appels IP et de la facilité de mise en oeuvre d'un mini centre d'appels.

au sommaire


    Le phishing devient téléphonique

    Le phishing devient téléphonique

    Le faux site web, arme historique des phishers, n'est certes pas encore prêt de disparaître. Mais il a désormais de la concurrence : le faux centre d'appels. Selon la société antispam Cloudmark, une attaque de phishing d'un genre nouveau a sévi aux Etats-Unis durant quelques jours. Les courriers frauduleux ne proposaient pas à l'internaute de "confirmer" ses informations personnelles en cliquant sur un lien, mais plutôt en appelant un numéro de téléphone. Le principe, bien entendu, reste le même : à l'autre bout de la ligne, nulle banque mais un escroc prêt à détrousser sa victime.

    Ce changement de support est probablement d'une efficacité diabolique : alors que les internautes commencent tout juste à apprendre à se méfier des faux sites bancaires, bon nombre d'entre eux seront rassurés à l'idée d'appeler ce qu'ils pensent être leur banque. Sans prendre bien entendu le temps de vérifier le numéro.

    Techniquement, bien sûr, mettre en oeuvre un faux centre d'appels est un peu plus contraignant que de pirater un vulgaire PC afin d'y installer un site web frauduleux. Mais ce n'est pas beaucoup plus compliqué. D'autant que les offres de PBX se généralisent (tel le projet Open Source Asterisk, par exemple) et que des opérateurs se spécialisent dans l'acheminement du trafic de voix sur IPvoix sur IP à partir des téléphones fixes. Lors de cette première attaque, d'ailleurs, les communications transitaient par un petit opérateur local américain.

    Il devient ainsi possible à n'importe qui de se créer un numéro de téléphone qui aboutit sur un PC à l'autre bout du monde, et ça, c'est une révolution dans le petit monde de l'arnaque.

    Bien entendu, une grande part du succès de ce type d'attaque repose sur sa nouveauté. Mais c'est ainsi que fonctionne l'Art de l'escroquerie. Et avec la téléphonie sur IPtéléphonie sur IP, c'est un nouveau monde qui s'offre aux pirates. Ils pourront, par exemple, plus facilement s'offrir une légitimité apparente afin de confirmer une fausse proposition commerciale ou renforcer la crédibilté d'une escroquerie sur le web.

    Après tout, Kevin Mitnick, qui se servait plus volontiers d'un téléphone que d'un clavier, a déjà montré que le téléphone peut être une arme particulièrement efficace. Et c'était bien avant que la téléphonie et InternetInternet ne convergent.

    Note par Futura-Sciences

    Kevin Mitnick est un pirate informatique dont l'histoire a été fortement médiatisée. Très jeune, en 83 il se fait arrêter pour l'intrusion dans un ordinateurordinateur du Pentagone. Il récidiverécidive en 87 avec vol de cartes de crédits téléphoniques, et vol d'un logiciellogiciel. Puis il décide de s'introduire sur l'intranetintranet de DigitalDigital Equipment Corporation pour récupérer le code sourcecode source du système d'exploitationsystème d'exploitation VMS. En 89 le FBI le traque pour ne pas avoir respecté les clauses de sa periode de probation, mais il disparaît.

    Après diverse autres tentatives d'intrusions, son erreur aura été de s'attaquer à des ordinateurs d'un ancien hacker : Tsutomu Shimomura en utilisant une technique peu connue à l'époque, l'IP spoofingspoofing (mais bien connue de Shimomura). À partir de ce moment Shimomura contacte le FBI et va s'improviser le chasseur de Mitnick à travers ses diverses autres tentatives.

    L'histoire se terminera en 95 par son arrestation permise par les investigations de Shimomura.

    La particularité de Mitnck est d'avoir accédé largement aux réseaux d'ordinateurs reliés aux réseaux téléphoniques, tout simplement en utilisant des téléphones portables.