Avis aux utilisateurs d'iPhone : Une nouvelle attaque par SMS pourrait voler vos identifiants Apple ID
Un récent rapport de Broadcom met en garde contre une attaque par hameçonnage visant les utilisateurs d'Apple. Dans cette attaque, un utilisateur reçoit un message SMS ou un courriel d'une source prétendant être un représentant du service après-vente d'Apple. Le message fournit un lien vers un site web se faisant passer pour iCloud.com et affiche également un CAPTCHA que l'utilisateur doit compléter, ce qui lui donne un sentiment de légitimité. Une fois connecté, l'utilisateur voit apparaître une ancienne page web d'iCloud.
Selon Broadcom, les attaques de "smishing" (hameçonnage par SMS plutôt que par courriel) comme celle-ci ciblent généralement les navigateurs mobiles et certaines régions pour éviter d'être détectées. Cependant, cette attaque semble être exécutée à la fois sur les Macs et les iPhones. Broadcoms indique qu'un message de smishing récent se lisait comme suit :
Demande importante d'Apple iCloud : Visite de l'ouverture de session[.]authen-connexion[.]info/icloud pour continuer à utiliser vos services.
Comment se protéger des attaques de phishing
Broadcom recommande expressément son propre logiciel Symantec Endpoint Protection Mobile pour se protéger des attaques de phishing. D'autres suites logicielles de sécurité peuvent offrir une protection si elles offrent la possibilité d'analyser les liens dans les messages SMS. iphonologie.fr propose une série de conseils que vous pouvez utiliser pour éviter les attaques de phishing. Avant de cliquer sur un lien, vérifiez toujours l'URL. Une correspondance officielle d'Apple iCloud (qui ne viendrait probablement jamais par texto) aura Apple.com ou iCloud.com dans l'adresse.
Il convient de noter que cette attaque utilise des CAPTCHA, qu'Apple n'utilise pas pour sécuriser ses connexions. Lors de la connexion à iCloud.com, un contrôle de sécurité est effectué avec Touch ID ou Face ID. Dans d'autres situations, Apple demande un code numérique à six chiffres qui est envoyé à votre appareil. Un CAPTCHA affiche souvent une série de caractères de manière stylisée - une ou deux lettres apparaissent courbées tandis que les autres sont droites, par exemple - et l'utilisateur doit taper les caractères correctement dans une boîte avant d'obtenir un accès complet au site. Apple n'utilise pas non plus ces "puzzles" de sécurité où l'utilisateur doit choisir un certain type d'image parmi un ensemble plus large d'images.
Aucun appareil n'est totalement invulnérable. Il est conseillé d'installer la dernière version d'iOS qu'un appareil peut prendre en charge afin de s'assurer que les derniers correctifs de sécurité sont installés. En savoir plus sur les logiciels malveillants et les virus sur l'iPhone. Nous vous proposons également des conseils pour protéger votre téléphone contre les pirates informatiques.