Vishing (Phishing et ingénierie sociale en Voix sur IP - Skipe Wengo...)
Vishing (Phishing et ingénierie sociale en Voix sur IP - Skipe Wengo...)
|
||||
| |
L'ingénierie sociale est une simple technique de persuasion de son interlocuteur :
Le Vishing, néologisme construit à partir de VOIP (Voix sur IP et Phishing) consiste à téléphoner sur tous les numéros de téléphone d'une zone (Skipe ou Wengo...) et d'accrocher une conversation avec quelqu'un. Dans le nombre d'appelés, gratuitement grâce à Skipe, Wengo etc. ... (la gratuité des appels serait la principale motivation des fraudeurs qui se tournent vers le vishing) il y a suffisamment de crédules, de faibles d'esprit et d'influençables pour se laisser abuser par la logorrhée bien rodée d'un escroc. Il n'y a pas de véritable dialogue avec un interlocuteur mais des messages pré-enregistrés destinés à vous faire peur et vous mettre dans un état de manque de sens critique vous conduisant à vous dévoiler. Il vous est alors demandé d'appeler un serveur vocal afin d'entrer en relation avec un conseiller en vous identifiant grâce à votre code de carte bancaire à 16 chiffres ou votre numéro de compte, votre date de naissance, date d'expiration de votre carte, code secret et autres informations prétendument devant permettre de vous authentifier et à votre interlocuteur de trouver votre dossier.
L'attaque n'est pas signalée en français au moment de la rédaction de cette fiche mais voici ce que pourrait être le message.
Bien entendu, la pseudo vérification de vos codes et mots de passe est destinée à vous les faire composer au clavier afin que l'escroc, à l'autre bout, les capture avec vos comptes bancaires etc. ...
Le Vishing peut toucher à toutes formes de persuasions y compris en matière de pédophilie (la téléphonie gratuite avec Skipe et Wengo est massivement utilisée par les jeunes avec les encouragements des parents !).
Le Vishing peut se pratiquer avec des serveurs vocaux (pc équipés de composeurs de numéros et de logiciels de diffusion de messages enregistrés dont la hiérarchie et l'arborescence sont gérées automatiquement en vous demandant d'utiliser les touches de votre téléphone).
Pour de plus amples renseignements il peut vous être conseillé d'aller sur un site Internet, site qui, bien entendu, est piégé et implantera un parasite de type spyware ou backdoor ou RAT dans votre ordinateur afin de le transformer en zombi et/ou de parfaire le pillage de vos données confidentielles.
- persuasion que l'attaquant est bien celui qu'il prétend être
- persuasion que vous pouvez et devez, dans votre intérêt, dévoiler une information.
Le Vishing, néologisme construit à partir de VOIP (Voix sur IP et Phishing) consiste à téléphoner sur tous les numéros de téléphone d'une zone (Skipe ou Wengo...) et d'accrocher une conversation avec quelqu'un. Dans le nombre d'appelés, gratuitement grâce à Skipe, Wengo etc. ... (la gratuité des appels serait la principale motivation des fraudeurs qui se tournent vers le vishing) il y a suffisamment de crédules, de faibles d'esprit et d'influençables pour se laisser abuser par la logorrhée bien rodée d'un escroc. Il n'y a pas de véritable dialogue avec un interlocuteur mais des messages pré-enregistrés destinés à vous faire peur et vous mettre dans un état de manque de sens critique vous conduisant à vous dévoiler. Il vous est alors demandé d'appeler un serveur vocal afin d'entrer en relation avec un conseiller en vous identifiant grâce à votre code de carte bancaire à 16 chiffres ou votre numéro de compte, votre date de naissance, date d'expiration de votre carte, code secret et autres informations prétendument devant permettre de vous authentifier et à votre interlocuteur de trouver votre dossier.
L'attaque n'est pas signalée en français au moment de la rédaction de cette fiche mais voici ce que pourrait être le message.
Exemple Nous sommes le centre de traitement des opérations financières de votre banque. Nous avons relevé des mouvements de sommes importants et inhabituels pouvant laisser supposer que vous êtes victimes d'un escroc tentant de vider votre compte. Veuillez appeler le 11.22.33.44.55 et vous authentifier avec les informations qui vous seront demandées. Un conseiller prendra votre appel. Je répète : 11.22.33.44.55. Pour ré-écouter ce message, tapez 1, sinon raccrocher.
Bien entendu, la pseudo vérification de vos codes et mots de passe est destinée à vous les faire composer au clavier afin que l'escroc, à l'autre bout, les capture avec vos comptes bancaires etc. ...
Le Vishing peut toucher à toutes formes de persuasions y compris en matière de pédophilie (la téléphonie gratuite avec Skipe et Wengo est massivement utilisée par les jeunes avec les encouragements des parents !).
Le Vishing peut se pratiquer avec des serveurs vocaux (pc équipés de composeurs de numéros et de logiciels de diffusion de messages enregistrés dont la hiérarchie et l'arborescence sont gérées automatiquement en vous demandant d'utiliser les touches de votre téléphone).
Pour de plus amples renseignements il peut vous être conseillé d'aller sur un site Internet, site qui, bien entendu, est piégé et implantera un parasite de type spyware ou backdoor ou RAT dans votre ordinateur afin de le transformer en zombi et/ou de parfaire le pillage de vos données confidentielles.
SIPtap: un programme d'écoute illicite des conversations en VoIP 27 novembre 2007
Cet article de Vulnérabilité.com fait suite à plusieurs autres publiés depuis 24 heures (25/26 novembre 2007) concernant un Proof Of Concept (une preuve de faisabilité) présenté par Peter Cox avec son programme "SIPtap"
L'article de Vulnérabilité.com
La VoIP a véritablement le vent en poupe et les éditeurs de solutions de sécurité s'attendent à ce que les applications liées à cette technologie soient sous le feux d'attaques en 2008, compte tenu d'un nombre de vulnérabilités les affectant grandissant sans cesse. Mais à côté des attaques de type vishing (dérivé du traditionnel phishing adapté à la sauce VoIP) qui semblent surtout préoccupées les éditeurs comme McAfee, une menace est surtout redoutée par les entreprises où la VoIP à trouver sa place, le piratage des conversations.
Mauvaise nouvelle, Peter Cox, co-fondateur de BorderWare, s'offre un petit coup de projecteur avant de lancer sa nouvelle société en concevant un programme dévolu à cette tâche. En guise de logiciel en bonne et due forme, il s'agit cependant plus d'une preuve de concept tendant à démontrer que cette opération est presque à la portée de tous les cybercriminels. Baptisée SIPtap, l'application a été conçue suite à divers entretiens avec Phil Zimmerman, l'illustre créateur de PGP et dernièrement de Zfone, un logiciel offrant justement une protection contre SIPtap via le chiffrement des communications VoIP.
SIPtap est capable de contrôler plusieurs flux VoIP, de les écouter et de les enregistrer dans des fichiers .wav. Selon Cox qui s'est confié à nos confrères de Techworld, tout ce qu'un pirate aurait à faire est d'infecter une machine du réseau ciblé avec un cheval de Troie implémentant les fonctionnalités de SIPtap, et d'assurer que cela est également envisageable au niveau des fournisseurs d'accès. Parmi les autres possibilités offertes par SIPtap, le fait de pouvoir classer les enregistrements obtenus par utilisateur, par contenu ou même par date. Cox a ainsi été en mesure de récupérer des données utilisables sur un réseau test où SIPtap a fonctionné d'août dernier à novembre.
Avec SIPtap, Cox est donc parvenu à son but, démontrer que la technologie VoIP est vulnérable et que malheureusement, beaucoup trop de sociétés qui y ont recours pensent à tort qu'elles sont en sécurité alors qu'un simple troyen suffit à ébranler cette belle certitude. Le conseil de Peter Cox, faire preuve de la même vigilance lors de la construction d'un système de réseau VoIP que dans le cadre de celle d'un site Web.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music