Télécharger les mauvaises applications peut vous faire pirater
La dépendance aux smartphones est un slam dunk pour les pirates qui s’interrogent constamment car les appareils sont pratiquement toujours allumés et connectés à des dizaines d’applications remplies de données sensibles.
Les pirates les trouvent irrésistibles puisque les mots de passe sont stockés sur votre téléphone pour votre banque, vos applications de bourse et de jeu.
“Les appareils mobiles sont souvent un terreau fertile pour les attaquants, car un appareil donné contient des dizaines ou des centaines d’applications mobiles et de connexions de compte, sans parler des quantités de données sensibles stockées”, a déclaré Michael Isbitski, évangéliste technique chez Salt Security, Palo Alto, Californie. fournisseur de sécurité API basé sur TheStreet.
Les smartphones sont des objectifs
Le temps que les gens passent sur leur smartphone, combiné au nombre de personnes travaillant à domicile, augmente les chances qu’un pirate les attaque.
“La plupart des entreprises prennent en charge une forme de BYOD (apportez votre propre appareil), qui introduit un piratage au niveau du consommateur dans le domaine d’une entreprise compromise”, a déclaré Bud Broomhead, PDG de Viakoo, un fournisseur d’IoT automatisé basé à Mountain View, en Californie. cyber hygiène a déclaré à TheStreet.
Les entreprises doivent s’assurer que leurs employés n’utilisent pas de mots de passe personnels dans l’environnement de travail, car cela peut aider à réduire la possibilité de compromis.
“Les frontières floues entre le travail et la vie privée permettent aux cybercriminels de réaliser plus facilement des exploits ciblant les systèmes et les données de l’entreprise”, a-t-il déclaré.
Les consommateurs et les employés utilisent toujours des mots de passe qui peuvent être facilement devinés ou piratés, a déclaré à TheStreet Joni Moore, directeur des solutions de sécurité chez Lookout, une société de sécurité des terminaux au cloud basée à San Francisco. La liste récente de la société des 20 mots de passe les plus couramment utilisés dans les informations divulguées sur les comptes Web sombres va de simples séquences de chiffres et de lettres telles que “123456” et “Qwerty” à des phrases faciles à saisir telles que “Iloveyou”.
Les applications ont des formes d’authentification plus faibles
Les applications sur votre téléphone peuvent être le moyen le plus simple pour les pirates de trouver une entrée, car la majorité des applications sont conçues pour être faciles à utiliser et pas suffisamment sécurisées, a déclaré Brian Contos, responsable de la sécurité chez Phosphorus Cybersecurity, basé à Nashville, à TheStreet.
Bien qu’il existe des mesures de sécurité lors de l’installation des applications, telles que demander l’autorisation d’accéder aux photos, aux contacts, au microphone, au caméscope et à la localisation, la majorité dit oui à tout car “ils veulent la facilité d’utilisation et ils veulent profiter de tous les avantages”. l’application a à offrir “, a-t-il déclaré.
Dans les coulisses de l’application, c’est une autre histoire, et il pourrait s’agir de capturer des informations sensibles, a déclaré Contos.
Alors que les magasins d’applications Apple et Google affichent toutes les applications, quelques mauvaises pourront toujours se faufiler, Jason Glassberg, co-fondateur de Casaba Security, une société basée à Redmond, Washington pour les tests d’intrusion et les services de sécurité, a déclaré à TheStreet.
Les applications légitimes présentent également un risque car il est possible que les pirates les compromettent à partir des serveurs principaux de l’application. Le plus grand risque est que l’utilisateur soit amené à installer une application malveillante, généralement à partir d’un magasin d’applications tiers, a-t-il déclaré.
Il devrait y avoir moins d’inquiétude concernant les données sur un smartphone et plus d’accent sur les données que le téléphone déverrouille, a déclaré Sounil Yu, responsable de la sécurité de l’information chez JupiterOne, un fournisseur de solutions de gestion et de gestion des cyberactifs basé à Morrisville, en Caroline du Nord, à TheStreet. .
Faites défiler pour continuer
Les attaquants savent que les téléphones sont devenus indispensables pour prendre en charge l’authentification à deux facteurs qui protège l’accès à de grandes quantités de données. De nombreuses entreprises envoient un SMS sur votre téléphone avec un numéro à cinq ou six chiffres qui sera utilisé pour confirmer que vous effectuez une transaction.
Le hic, c’est qu’ils sont désormais “souvent ciblés par le détournement de SMS et des applications malveillantes tentatrices”, a-t-il déclaré. “Pour mieux protéger les données que votre téléphone déverrouille, vous devez éviter d’utiliser les SMS ou les appels téléphoniques comme deuxième facteur et utiliser à la place des applications d’authentification.”
Les attaquants ciblent en permanence les applications mobiles car ils peuvent “extraire des fichiers binaires pour les applications mobiles des magasins d’applications publics et les inverser pour comprendre le fonctionnement des applications et stocker des données”, a déclaré Isbitski.
La conception d’applications mobiles “parle” aux services back-end sur Internet pour récupérer des données, stocker des informations et activer des fonctionnalités, et les développeurs d’applications utiliseront parfois des formes d’authentification plus faibles pour permettre les expériences des utilisateurs mobiles, a-t-il déclaré.
Votre téléphone peut également hameçonner
Les cybercriminels sont agnostiques et peuvent lancer un vaste réseau de phishing dans l’espoir qu’une personne clique sur un lien malveillant, qu’il provienne d’un e-mail ou d’un téléphone, a déclaré Moore. La carte de phishing mobile de Lookout montre que le taux de phishing aux États-Unis est de 34 % pour iOS et Android combinés.
Les données de la société montrent que les appareils mobiles personnels sont confrontés à davantage d’attaques de phishing avec 46,2 % des consommateurs exposés au phishing mobile contre 15,7 % des utilisateurs professionnels mobiles.
Les escroqueries par hameçonnage prennent souvent la forme d’e-mails ou de SMS prétendant être des entités connues telles que l’IRS ou le CDC.
“Les escroqueries par hameçonnage social peuvent faire croire aux consommateurs qu’ils font un don à une cause légitime ou des informations personnelles pour gagner un concours ou aider une cause”, a-t-elle déclaré.
Les pirates informatiques à l’échelle nationale auront accès à un téléphone cible afin de pouvoir surveiller leurs communications, ainsi que leur emplacement physique, tandis que les poursuivants ou les anciens partenaires souhaitent accéder au suivi GPS, a déclaré Glassberg.
La majorité des pirates informatiques veulent voler vos informations pour prendre le contrôle de vos comptes financiers et générer des revenus, et utiliseront des messages texte de phishing connus sous le nom de smishing pour tenter d’amener l’utilisateur à visiter une fausse page de connexion ou à télécharger une fausse application financière, a-t-il déclaré. .
“Le phishing ne se limite pas aux e-mails”, a-t-il déclaré. “C’est maintenant une tactique standard utilisée par les criminels sur plusieurs canaux de communication, y compris les SMS, la messagerie instantanée, les médias sociaux, Slack et même Zoom. Bientôt, le phishing et d’autres tactiques d’ingénierie sociale trouveront leur chemin dans le métaverse.”
Pourquoi la commutation SIM augmente
Les pirates sont toujours à la recherche de la deuxième arnaque la plus facile à commettre, et l’échange de carte SIM est extrêmement rentable.
Le nombre de plaintes de remplacement de carte SIM est passé à 1 611 avec des pertes ajustées de plus de 68 millions de dollars, selon le FBI Internet Crime Complaint Center. De janvier 2018 à décembre 2020, le FBI a reçu 320 plaintes avec des pertes ajustées d’environ 12 millions de dollars.
Les criminels ciblent les opérateurs mobiles pour accéder aux comptes bancaires des victimes, même aux comptes SIM virtuels en monnaie virtuelle en utilisant la technologie sociale, l’intimidation d’initiés ou des techniques de phishing.
Après le remplacement d’une carte SIM, tous les appels et SMS de la victime sont transférés vers l’appareil du criminel. Le pirate peut désormais envoyer des demandes de “mots de passe oubliés” ou de “récupération de compte” à l’e-mail de la victime et peut envoyer un lien ou un code à usage unique par SMS au numéro de la victime, qui appartient désormais à des criminels.
Le FBI recommande aux utilisateurs d’éviter de publier des informations sur les actifs financiers, y compris les crypto-monnaies, sur les réseaux sociaux et les forums et de ne pas stocker de mots de passe ou de noms d’utilisateur dans vos applications.
“L’utilisateur n’est pas beaucoup plus avisé puisque son appareil et sa carte SIM ne sont jamais sortis de sa possession, bien qu’il puisse commencer à voir des erreurs sur son propre appareil au fil du temps”, a déclaré Isbitski.
Les attaquants peuvent facilement tromper les représentants du service client de l’opérateur car les réponses aux défis souvent utilisés par les représentants pour identifier une personne sont désormais publiques en raison d’incidents de sécurité passés.
“La quantité de données sensibles qui ont été divulguées sur des individus au fil du temps est devenue énorme”, a-t-il déclaré.
Comment les consommateurs peuvent éviter les pirates
Prendre le contrôle de vos applications vous aidera à éviter de devenir la cible d’un pirate informatique. Commencez par limiter le nombre et le type d’applications que vous installez car “c’est là que réside la plus grande menace sur votre téléphone”, Chris Pierson, PDG de BlackCloak, une société de cybersécurité basée à Orlando, en Floride, spécialisée dans la prévention des cyberattaques sur mobile et appareils personnels et réseaux domestiques, a déclaré TheStreet.
Les utilisateurs d’Android ont “un risque encore plus grand d’applications malveillantes, mais les utilisateurs d’iPhone ne sont pas à l’abri non plus”, a-t-il déclaré.
Les magasins d’applications ne peuvent pas toujours attraper une application malveillante, surtout si elle remplit une fonction légitime telle qu’une calculatrice ou un bloqueur de publicités au lieu d’attendre plus tard pour mettre à jour le logiciel pour le rendre malveillant, a déclaré Pierson.
“Les employés devraient également utiliser le cryptage des appareils mobiles pour protéger les données importantes sur leurs téléphones”, a-t-il déclaré. “Cela peut être fait dans les paramètres du téléphone pour Android et iPhone. L’antivirus mobile est également une bonne idée en tant que couche de protection supplémentaire pour se protéger contre les applications et les liens malveillants.”
