Articles

Comment pirater un compte de messagerie, juste en connaissant le numéro de téléphone portable de votre victime

Symantec a émis un avertissement sur ce qui semble être une arnaque réussie perpétrée contre les utilisateurs de services de messagerie

l’arnaque est expliquée dans la courte vidéo suivante réalisée par Symantec.

(je dis que c’est une courte vidéo, et c’est une courte vidéo, à seulement 2 minutes 17 secondes., Mais Symantec pense clairement que vous avez la capacité d’attention d’un poisson rouge, alors ils ont ajouté un rythme funky en arrière-plan pour vous empêcher de somnoler).

pour ceux qui ne supportent pas la musique de fond, voici une explication de la façon dont vous pouvez voler un compte de messagerie, simplement en connaissant le numéro de téléphone portable de votre victime.

Dans l’exemple ci-dessous nous permettra d’imaginer qu’un attaquant tente de pirater un compte Gmail appartenant à une victime appelle Alice.,

Alice enregistre son numéro de téléphone portable avec Gmail afin que si jamais elle oublie son mot de passe, Google lui envoie un SMS contenant un code de vérification de sauvetage afin qu’elle puisse accéder à son compte.

Un méchant – appelons – le Malcolm-tient à pénétrer dans le compte D’Alice, mais ne connaît pas son mot de passe. Cependant, il connaît L’adresse e-mail et le numéro de téléphone d’Alice.

donc, il visite la page de connexion Gmail et entre L’adresse e-mail D’Alice. Mais Malcolm ne peut pas entrer correctement le mot de passe D’Alice bien sûr (parce qu’il ne le sait pas).,

donc, à la place, il clique sur « Besoin d’aide? »lien, normalement utilisé par les utilisateurs légitimes qui ont oublié leurs mots de passe.

plutôt que de choisir l’une des autres options, Malcolm sélectionne « obtenir un code de vérification sur mon téléphone: ” pour qu’un message SMS contenant un code de sécurité à six chiffres soit envoyé au téléphone portable D’Alice.

ceci où les choses deviennent sournoises.

parce qu’à ce stade, Malcolm envoie à Alice un texte prétendant être Google, et disant quelque chose comme:

« Google a détecté une activité inhabituelle sur votre compte., Veuillez répondre avec le code envoyé à votre appareil mobile pour arrêter toute activité non autorisée. »

Alice, estimant que le message est légitime, répond avec le code de vérification qu’elle vient d’être envoyée par Google.

Malcolm peut alors utiliser le code pour définir un mot de passe temporaire et prendre le contrôle du compte de messagerie D’Alice.,

Si Malcolm tenait à ne pas éveiller les soupçons et à continuer à voir tous les e-mails reçus par Alice dans un avenir prévisible, il se peut qu’il reconfigure son e-mail pour transférer automatiquement les futurs messages à un compte sous son contrôle, puis lui envoie un SMS contenant> »merci d’avoir vérifié votre compte Google., Votre mot de passe temporaire est ”

même si Alice change son mot de passe à une date ultérieure, Malcolm continuera à recevoir sa correspondance par e-mail privée à moins qu’elle ne regarde attentivement les paramètres de son compte.

en bref – c’est un vilain morceau d’ingénierie sociale qu’il est facile d’imaginer travailler contre beaucoup de gens.

Alors, quelle est la solution?

Eh bien, le Conseil le plus simple est de se méfier des messages SMS qui vous demandent de renvoyer un code de vérification – en particulier si vous n’avez pas demandé de code de vérification en premier lieu.,

cependant, je me demande combien de personnes confrontées à un message qu’elles croient provenir de Google ou de Yahoo agiraient immédiatement, sans penser aux conséquences. Après tout, l’un des plus grands soucis que beaucoup de gens pourraient avoir de nos jours est d’être coupé de leur compte de messagerie.

pour plus de détails, consultez le blog de Slawomir Grzonkowski de Symantec.

et pour des conseils sur la façon de mieux protéger votre compte de messagerie web, n’oubliez pas d’écouter cet épisode du podcast « Smashing Security”:

Vous avez trouvé cet article intéressant?, Suivez Graham Cluley sur Twitter pour en savoir plus sur le contenu exclusif que nous publions.

Graham Cluley est un vétéran de l’industrie anti-virus ayant travaillé pour un certain nombre de sociétés de sécurité depuis le début des années 1990 lorsqu’il a écrit la toute première version de Dr Solomon Anti-Virus Toolkit pour Windows. Aujourd’hui analyste de sécurité indépendant, il fait régulièrement des apparitions dans les médias et est un conférencier international sur le thème de la sécurité informatique, des pirates informatiques et de la confidentialité en ligne.Suivez-le sur Twitter à @gcluley, ou envoyez-lui un e-mail.