Télécharger les mauvaises applications peut vous faire pirater

by James · October 18, 2022

La dépendance aux smartphones est un slam dunk pour les pirates qui se cachent constamment car les appareils sont pratiquement toujours allumés et connectés à des dizaines d’applications remplies de données sensibles.

Les pirates les trouvent irrésistibles puisque les mots de passe sont stockés sur votre téléphone pour votre banque, vos applications de bourse et de jeu.

“Les appareils mobiles sont souvent des terrains fertiles pour les attaquants, car un appareil donné contient des dizaines ou des centaines d’applications mobiles et de connexions de compte, sans parler de tonnes de données sensibles stockées”, a déclaré Michael Isbitski, évangéliste technique chez Salt Security, à Palo Alto, en Californie. fournisseur basé de sécurité API a déclaré à TheStreet.

Les smartphones sont des cibles

Le temps que les gens passent sur leur smartphone combiné au nombre de personnes travaillant à domicile augmente les chances qu’un pirate les attaque.

“La plupart des entreprises prennent en charge une forme de BYOD (apportez votre propre appareil), qui introduit un piratage au niveau du consommateur dans le domaine d’une entreprise compromise”, Bud Broomhead, PDG de Viakoo, un fournisseur de services automatisés basé à Mountain View, en Californie. La cyber-hygiène IoT a déclaré à TheStreet.

Les entreprises doivent s’assurer que leurs employés n’utilisent pas de mots de passe personnels dans l’environnement de travail, car cela peut aider à réduire la possibilité de compromis.

“Les frontières floues entre la vie professionnelle et la vie privée permettent aux cybercriminels de réaliser plus facilement des exploits ciblant les systèmes et les données de l’entreprise”, a-t-il déclaré.

Les consommateurs et les employés utilisent toujours des mots de passe qui peuvent être facilement devinés ou piratés, a déclaré à TheStreet Joni Moore, directeur des solutions de sécurité chez Lookout, une société de sécurité des terminaux au cloud basée à San Francisco. La liste récente de la société des 20 mots de passe les plus couramment trouvés dans les informations de compte divulguées sur le dark web va de simples séquences de chiffres et de lettres comme « 123456 » et « Qwerty » à des phrases faciles à saisir comme « Iloveyou ».

Les applications ont des formes d’authentification plus faibles

Les applications sur votre téléphone peuvent être le moyen le plus simple pour les pirates de trouver une entrée, car la majorité des applications sont conçues pour être faciles à utiliser et ne sont pas suffisamment sécurisées, a déclaré Brian Contos, responsable de la sécurité chez Phosphorus Cybersecurity, basé à Nashville, à TheStreet. .

Bien qu’il existe des mesures de sécurité lors de l’installation des applications, telles que demander l’autorisation d’accéder aux photos, aux contacts, au microphone, à la caméra vidéo et à l’emplacement, la majorité dit oui à tout car “ils veulent la facilité d’utilisation et ils veulent profiter de tous les avantages que l’application a à offrir », a-t-il déclaré.

Dans les coulisses de l’application, c’est une autre histoire, et il se peut qu’elle capture des informations sensibles, a déclaré Contos.

Alors que les magasins d’applications Apple et Google répertorient toutes les applications, quelques mauvaises se faufileront toujours, a déclaré Jason Glassberg, co-fondateur de Casaba Security, une société de tests d’intrusion et de services de sécurité basée à Redmond, Washington, à TheStreet.

Les applications légitimes présentent également des risques car il est possible que les pirates les compromettent à partir des serveurs principaux de l’application. Le plus grand risque est que l’utilisateur soit amené à installer une application malveillante, généralement à partir d’un magasin d’applications tiers, a-t-il déclaré.

Sounil Yu, responsable de la sécurité de l’information chez JupiterOne, un fournisseur de solutions de gestion et de gouvernance des cyberactifs basé à Morrisville, en Caroline du Nord, devrait accorder moins d’importance aux données sur un smartphone et davantage aux données déverrouillées par le téléphone.

Les attaquants savent que les téléphones sont devenus indispensables pour prendre en charge l’authentification à deux facteurs qui protège l’accès à de grandes quantités de données. De nombreuses entreprises envoient un message texte sur votre téléphone avec un numéro à cinq ou six chiffres à utiliser pour confirmer que vous effectuez une transaction.

Le hic, c’est qu’ils sont désormais “souvent ciblés par le détournement de SMS et des applications malveillantes tentatrices”, a-t-il déclaré. “Pour mieux protéger les données que votre téléphone déverrouille, évitez d’utiliser les SMS ou les appels téléphoniques comme deuxième facteur et utilisez plutôt des applications d’authentification.”

Les attaquants ciblent en permanence les applications mobiles, car ils peuvent “extraire des fichiers binaires d’applications mobiles des magasins d’applications publics et les désosser pour comprendre le fonctionnement des applications et stocker des données”, a déclaré Isbitski.

Les conceptions d’applications mobiles “parlent” aux services back-end sur Internet pour récupérer des données, stocker des informations et activer des fonctionnalités, et les développeurs d’applications utiliseront parfois des formes d’authentification plus faibles pour permettre aux utilisateurs mobiles de vivre des expériences, a-t-il déclaré.

Votre téléphone peut également être hameçonné

Les cybercriminels sont agnostiques et peuvent lancer un vaste réseau de phishing dans l’espoir qu’une personne clique sur un lien malveillant, qu’il provienne d’un e-mail ou d’un téléphone, a déclaré Moore. La carte de phishing mobile de Lookout montre que le taux de phishing aux États-Unis est de 34 % pour iOS et Android combinés.

Les données de la société montrent que les appareils mobiles personnels sont confrontés à davantage d’attaques de phishing, 46,2 % des consommateurs étant exposés au phishing mobile, contre 15,7 % des utilisateurs professionnels mobiles.

Les escroqueries par hameçonnage prennent souvent la forme d’e-mails ou de messages SMS prétendant être des entités connues telles que l’IRS ou le CDC.

“Les escroqueries par hameçonnage social peuvent faire croire aux consommateurs qu’ils font un don à une cause légitime ou qu’ils donnent des informations personnelles pour gagner un concours ou aider une cause”, a-t-elle déclaré.

Les pirates informatiques d’États-nations veulent accéder au téléphone d’une cible afin de pouvoir surveiller leurs communications ainsi que leur emplacement physique tandis que les harceleurs ou anciens partenaires veulent accéder à leur suivi GPS, a déclaré Glassberg.

La majorité des pirates informatiques veulent voler vos informations pour prendre le contrôle de vos comptes financiers et générer des revenus et utiliseront des messages texte de phishing connus sous le nom de smishing pour tenter d’amener l’utilisateur à visiter une fausse page de connexion ou à télécharger une fausse application financière, a-t-il déclaré.