Les menaces pour la sécurité mobile sont en augmentation. Les progrès de la technologie ouvrent la voie à un nombre croissant d'escroqueries liées aux téléphones mobiles et aux technologies intelligentes. Les cybercriminels s'adaptent rapidement à tout changement dans le paysage numérique et notre utilisation accrue des appareils connectés a fourni aux pirates malveillants l'occasion idéale de cibler les utilisateurs.
Un certain nombre de facteurs contribuent à affaiblir la sécurité des téléphones portables, mais l'une des principales préoccupations est que les téléphones sont beaucoup plus faciles à égarer, à perdre et à voler.
La connaissance est l'arme la plus puissante dans la lutte contre l'escroquerie et il est plus important que jamais de connaître les menaces courantes en matière de sécurité mobile et de savoir comment les éviter.
Types courants de menaces pour la sécurité mobile :
Smishing : hameçonnage par SMS
Le smishing ou hameçonnage par SMS est une méthode d'attaque courante par laquelle les escrocs ciblent les victimes par le biais de messages texte. Ces SMS invitent ensuite le destinataire à cliquer sur un lien qui téléchargera un logiciel malveillant ou redirigera la victime vers un site web malveillant afin de récolter ses informations sensibles.
Ces dernières années, le smishing a gagné en popularité, car il permet aux cybercriminels d'inciter les destinataires de messages texte à révéler des informations personnelles ou financières sans avoir à franchir les défenses de sécurité d'un ordinateur ou d'un réseau. En général, ces messages contiennent un sentiment d'urgence, une menace ou un avertissement pour tenter d'inciter le destinataire à agir immédiatement.
Une personne moyenne envoyant 15 SMS par jour, le smishing offre une occasion unique aux pirates malveillants de profiter de victimes souvent distraites ou pressées. Les recherches ont également montré que les utilisateurs sont plus susceptibles de répondre à une attaque de phishing sur un appareil mobile que sur un ordinateur de bureau, car les gens sont moins prudents avec les SMS qu'avec les arnaques de phishing standard qui sont généralement bloquées par les filtres anti-spam.
Applications de logiciels malveillants
Les menaces basées sur les applications surviennent lorsque les utilisateurs téléchargent des applications qui semblent légitimes mais qui cachent en réalité des logiciels malveillants, des vers ou des chevaux de Troie. Ces applications peuvent alors altérer les paramètres d'autorisation, voler des informations personnelles et professionnelles ou inscrire sournoisement les utilisateurs à des services d'abonnement sans qu'ils s'en rendent compte.
Par exemple, Skygofree, une application déguisée en mise à jour pour améliorer la vitesse de l'internet mobile, s'est avérée capable d'exécuter 48 commandes différentes, d'activer le microphone de votre téléphone, de se connecter à un réseau Wi-Fi compromis et de collecter des informations personnelles.
Si un utilisateur mord à l'hameçon et télécharge le cheval de Troie, celui-ci affiche une notification indiquant que l'installation est censée être en cours, se dissimule à l'utilisateur et demande des instructions supplémentaires au serveur de commande.
Ces applications sont souvent simples, accrocheuses et proposées gratuitement, ce qui les rend attrayantes pour de nombreux utilisateurs et se traduit par des millions de téléchargements potentiels.
Alors que 24 000 applications malveillantes sont bloquées chaque jour sur les appareils et que de plus en plus d'employés utilisent leurs propres appareils à des fins professionnelles, comme l'accès au courrier électronique de l'entreprise et la consultation de documents, il est essentiel que le personnel soit conscient des conséquences potentielles des applications malveillantes et sache comment les éviter.
Wi-Fi non sécurisé
Une étude montre que 61 % des organisations interrogées ont déclaré que les employés connectent les appareils de l'entreprise à des réseaux Wi-Fi publics lorsqu'ils travaillent en dehors du bureau, dans des lieux tels que les hôtels, les aéroports et les cafés. Les réseaux Wi-Fi publics sont courants dans de nombreux établissements ; cependant, le fait d'avoir un public captif d'utilisateurs non protégés reliés au même réseau permet aux cybercriminels de distribuer facilement des logiciels malveillants ou d'intercepter nos informations sensibles.
Un autre risque lié à l'utilisation du Wi-Fi public gratuit est que les utilisateurs peuvent se connecter accidentellement à un hotspot malveillant. Il s'agit de points d'accès ouverts dont le nom est généralement similaire à celui d'un point d'accès légitime et que les cybercriminels installent pour inciter les gens à se connecter à leur réseau. Les cybercriminels donnent aux points d'accès des noms communs tels que "Free Airport Wi-Fi" ou "Coffeehouse" pour encourager les utilisateurs à se connecter. Une fois qu'une victime est connectée à un hotspot Wi-Fi malveillant, les pirates peuvent alors intercepter des données et même utiliser des outils pour injecter des logiciels malveillants dans les appareils connectés.
Dans certains cas, les utilisateurs sont invités à créer un compte pour accéder au faux réseau, avec un mot de passe. Comme deux personnes sur trois réutilisent le même mot de passe pour plusieurs plateformes, les fraudeurs sont alors en mesure de compromettre le courrier électronique et les autres comptes des utilisateurs.
Pour les pirates, l'exploitation du Wi-Fi public pour collecter des données est incroyablement simple et bon marché, ce qui explique cette méthode d'attaque en pleine expansion.
Cryptographie
La cryptographie joue un rôle particulièrement important dans la sécurisation de nos données. Toutefois, la cryptographie peut être compromise lorsque les développeurs d'applications utilisent des algorithmes de cryptage faibles ou ne mettent pas en œuvre un algorithme de cryptage fort de manière sécurisée. Par conséquent, tout attaquant motivé peut exploiter les vulnérabilités pour craquer les mots de passe et obtenir un accès.
L'exploitation d'une cryptographie cassée peut avoir des conséquences techniques et commerciales pour les organisations. Si l'impact technique comprend l'accès non autorisé et l'exposition d'informations sensibles à partir de l'appareil, les conséquences commerciales peuvent inclure le vol d'informations, l'atteinte à la réputation, les violations de la vie privée et les amendes financières.
Traitement des sessions
La gestion incorrecte des sessions se produit lorsque la session précédente se poursuit, même lorsque l'utilisateur a fini d'utiliser l'application. Souvent, les applications autorisent les sessions longues pour accélérer le processus d'achat ; toutefois, cela entraîne des vulnérabilités car les cybercriminels peuvent alors se faire passer pour un autre utilisateur et exécuter une fonctionnalité en son nom.
Selon l'application ciblée, les criminels peuvent alors transférer de l'argent depuis le compte bancaire de l'utilisateur, acheter des articles sur des sites de commerce électronique, accéder à des informations personnelles détaillées pour commettre une usurpation d'identité, voler les données personnelles des clients sur les systèmes de l'entreprise ou demander le paiement d'une rançon
Un danger particulier pour les organisations est qu'une mauvaise gestion des sessions peut également être utilisée pour identifier les utilisateurs authentifiés dans les systèmes de signature unique. En d'autres termes, un détournement de session réussi peut permettre au fraudeur d'accéder à de multiples applications web, qu'il s'agisse de systèmes financiers ou de dossiers clients contenant une précieuse propriété intellectuelle.
Comment éviter les menaces de sécurité mobiles les plus courantes
Pour éviter les menaces à la sécurité mobile, vous pouvez prendre un certain nombre de mesures :
- Méfiez-vous des messages texte demandant des informations personnelles ou financières. Allez directement sur le site web de l'entreprise pour vérifier la demande.
- Si vous devez vous connecter à un réseau Wi-Fi public, utilisez un VPN pour plus de sécurité, qui présente également l'avantage de masquer votre adresse IP et votre emplacement, en plus de crypter et de sécuriser votre trafic. En outre, désactivez le paramètre Bluetooth de vos appareils lorsque vous ne les utilisez pas.
- Évitez de stocker des données sensibles sur un appareil mobile.
- Associez des mots de passe forts à des caractéristiques biométriques, telles que des authentificateurs d'empreintes digitales, pour une sécurité accrue.
- Installez une solution antivirus de confiance. S'il vous arrive de télécharger une application ou d'ouvrir une pièce jointe malveillante, une protection anti-malware mobile peut empêcher l'infection.
- Le micrologiciel de votre appareil mobile peut également être vulnérable aux menaces de sécurité. Assurez-vous d'avoir téléchargé les dernières mises à jour, qui comprennent souvent des correctifs de sécurité pour votre appareil.
- Utilisez HTTPS pour assurer le cryptage SSL/TLS de tout le trafic de la session. L'icône du cadenas dans la barre d'adresse du navigateur indique que vous êtes sur une connexion sécurisée et de bonne réputation. Vérifiez-le lorsque vous saisissez des données personnelles telles que votre adresse ou des informations de paiement ou lorsque vous envoyez des courriers électroniques depuis votre navigateur mobile.
Sensibiliser les employés aux menaces de sécurité mobile
Les employés représentent la plus grande menace pour la sécurité d'une organisation. Il est donc essentiel qu'ils disposent des compétences nécessaires pour identifier les menaces pour la sécurité mobile et aider à prévenir une cyberattaque.
MetaLearning Fusion est la nouvelle génération d'eLearning et a été spécialement conçu pour fournir la meilleure formation possible en matière de cybersécurité et de confidentialité à votre personnel. Les organisations peuvent créer des cours sur mesure pour leur personnel à partir d'une vaste bibliothèque de cours eLearning courts.
Contactez-nous pour obtenir de plus amples informations sur la manière dont MetaLearning peut être utilisé pour transformer la formation en matière de cybersécurité au sein de votre organisation.
