Illustration d'une attaque de phishing sur smartphone avec demande de mot de passe et icône de bouclier de sécurité.

L’essor du phishing mobile et comment s’en prémunir

avatar de l'utilisateur
Katie Bykowski
5 Lecture en une minute

Techniques d’attaques de phishing mobile et comment prévenir le “ mishing ” 

La pandémie a révolutionné notre façon de communiquer. Fini le temps où il fallait se lever du canapé pour parler à ses collègues. Aujourd'hui, un simple téléphone portable suffit pour utiliser Zoom, envoyer des courriels et programmer des réunions. Mais ce confort a un prix.

Avec plus de 15 milliards de téléphones portables dans le monde, il n'est pas surprenant que les personnes mal intentionnées se tournent vers les appareils mobiles pour voler des données et des informations privées. Le télétravail et la généralisation du BYOD (Apportez votre propre appareil) ont facilité la tâche des pirates informatiques qui ciblent les employés d'entreprise. L'une des attaques les plus dévastatrices : le phishing mobile, également appelé “ mishing ”.

Les attaques de phishing existent depuis le milieu des années 1990, époque à laquelle elles ciblaient initialement les courriels. Aujourd'hui, elles sont plus sophistiquées et se multiplient sur les appareils mobiles. La fréquence élevée des attaques de phishing mobiles représente un travail supplémentaire pour les équipes de sécurité. équipes du centre des opérations de sécurité (SOC) Pour gérer ce problème, poursuivez votre lecture afin d'en savoir plus sur la menace croissante du phishing mobile et sur la manière de s'en prémunir.

Qu'est-ce que le phishing mobile ?

Le phishing mobile est un type d'attaque de phishing qui utilise des appareils mobiles, tels que les smartphones et les tablettes, pour diffuser du contenu malveillant. Historiquement, les attaques de phishing étaient menées par le biais de courriels et de pages web. Cependant, avec l'essor d'Internet sur mobile et le temps que les utilisateurs passent sur leurs téléphones (par exemple, les Américains y consacrent près de [nombre manquant] heures), le phishing mobile est devenu une pratique courante. 4,8 heures par jour sur leurs smartphones), les cybercriminels ont tourné leur attention vers cette nouvelle voie pour victimiser les utilisateurs.

Les attaques de phishing mobile sont parfois plus difficiles à détecter car elles ne se limitent pas au phishing classique par e-mail. Les attaques par SMS (smishing), les appels vocaux malveillants (vishing) et le phishing via applications mobiles ont connu une explosion de popularité et de gravité. De plus, elles sont plus difficiles à contrer car elles sont spécifiquement conçues pour les appareils mobiles et exploitent la confiance que vous accordez aux applications légitimes que vous utilisez régulièrement.

  • SMS/messages texte – les SMS d’hameçonnage imitent souvent les applications bancaires, les fournisseurs de services de livraison, et même votre PDG.

  • Messages vocaux – il ne s'agit pas seulement d'une garantie prolongée pour votre voiture ; les attaques de vishing imitent le fisc, les organismes de prêt, et bien plus encore.

  • Facebook Messenger – méfiez-vous des liens suspects dans les messages, même de vos amis Facebook.

  • WhatsApp – les attaques peuvent cibler les victimes dans l'application et par courriel.

Différentes techniques d'attaque par hameçonnage mobile

Les stratégies d'hameçonnage mobile utilisent des techniques trompeuses pour inciter les utilisateurs d'appareils mobiles à divulguer des informations sensibles. Les méthodes les plus courantes sont les suivantes :

  1. Remplissage d'URL : les cybercriminels utilisent des domaines au sein d'URL longues pour dissimuler des sites malveillants.
  2. URL raccourcies : les attaquants utilisent des liens raccourcis pour le phishing par SMS (smishing) dans le cadre d’attaques à grande échelle.
  3. Superpositions d'écran : Les applications d'hameçonnage imitent les applications mobiles pour voler les identifiants d'authentification des utilisateurs, ciblant notamment les applications bancaires et de paiement mobiles.
  4. Vérification mobile : les sites d’hameçonnage vérifient le type d’appareil pour déployer des attaques spécifiques aux appareils mobiles.
  5. Usurpation d'identité par SMS (OTA) : de faux SMS apparaissent comme des mises à jour système, incitant les utilisateurs à cliquer sur des liens susceptibles d'intercepter des données.

Ces tactiques exploitent les vulnérabilités des appareils mobiles, rendant les utilisateurs plus susceptibles d'être victimes de techniques d'hameçonnage par téléphone.

Mishing contre phishing

La différence entre le phishing mobile et le phishing traditionnel réside dans le mode de diffusion. Alors que les e-mails de phishing classiques sont envoyés par courrier électronique, le phishing mobile exploite le fait que de nombreuses personnes utilisent leur téléphone pour leurs opérations bancaires, leurs achats et leurs activités professionnelles. Cette surface d'attaque étendue inclut les SMS, les appels téléphoniques, les messages vocaux, les applications et les réseaux sociaux. Bien que le mode de diffusion soit la principale différence, d'autres éléments clés sont également à prendre en compte.

L'essor du phishing par téléphone portable

  • 74% des sociétés Ils ont été victimes d'attaques de smishing l'année dernière.

  • En 2021, 61% des entreprises interrogées ont eu affaire à des attaques de phishing sur les réseaux sociaux.

  • 51% d'organisations permettre aux employés d'accéder aux applications de l'entreprise sur leurs appareils mobiles personnels.

  • Les attaques de phishing sur les appareils mobiles ont augmenté à un rythme constant de 851 TP3T par an.

  • 42% organisations signalent que des vulnérabilités dans les appareils mobiles et les applications Web ont conduit à un incident de sécurité.

  • 75% des sites d'hameçonnage ciblait spécifiquement les appareils mobiles.

  • Il existe près de 75 fois plus de sites d'hameçonnage que de sites de logiciels malveillants sur Internet, selon Navigation sécurisée Google.

  • La Banque d'Irlande était contraint de verser 800 000 € à 300 clients de la banque à la suite d'une seule attaque de smishing.

  • En 2024, 80% des sites d'hameçonnage Les appareils mobiles sont désormais spécifiquement ciblés, ce qui témoigne d'une augmentation significative des attaques axées sur les mobiles.
  • Le coût moyen d'une attaque de phishing mobile réussie contre une entreprise est de maintenant $4,5 millions.

Votre liste de contrôle pour la protection contre le phishing mobile

Les attaques de phishing mobile se produisent 24h/24 et 7j/7 ; assurez-vous donc que votre défense soit toujours prête. Voici quelques points à prendre en compte pour votre défense et votre réponse au phishing :

  1. Former les employés : La prévention est votre meilleure défense. Veillez à ce que la sécurité contre le phishing mobile soit intégrée aux formations régulières de vos employés en matière de sécurité. Mettez en évidence les signaux d'alerte courants et illustrez-les par des exemples concrets afin que vos employés sachent les reconnaître. Instaurer une culture de la sécurité au sein de votre organisation peut réduire le nombre d'attaques de phishing réussies.

  2. Collecter des preuvesEncouragez vos employés à envoyer des captures d'écran de tout SMS, message ou courriel malveillant provenant de l'appareil mobile ciblé (et rappelez-leur de bloquer l'expéditeur). Si un employé est victime d'une tentative d'hameçonnage, il est essentiel de savoir à quoi ressemble l'attaque réussie.

  3. Analyser les données : Votre équipe de sécurité peut rapidement identifier les tendances en matière d'attaques une fois que suffisamment de données ont été collectées. Par exemple, si vous constatez une augmentation des attaques par smishing usurpant l'identité du PDG, c'est une excellente occasion de diffuser des alertes de sécurité à l'ensemble de l'entreprise.

  4. Ayez un Plan d'intervention en cas d'incident: Un employé a-t-il cliqué sur un lien malveillant ou partagé des informations confidentielles ? Il est temps d’agir : activez votre procédure de gestion des incidents. Assurez-vous que votre équipe dispose de la documentation nécessaire concernant les étapes à suivre : de la mise en quarantaine des appareils à la recherche dans les systèmes internes, en passant par l’examen des journaux d’activité des autres utilisateurs concernés.

  5. Établir une politique BYOD : Créer un Apportez votre propre appareil Une politique est indispensable, que ce soit au bureau, en mode hybride ou à distance. Incluez des paramètres autour de départ des employés, perte d'appareil, vol et mises à jour de l'appareil.

Trier les tentatives d'hameçonnage avec des outils modernes : 
Automatisation de la sécurité

Les attaques de phishing mobile vont continuer à gagner en fréquence et en sophistication. Le télétravail et notre dépendance aux appareils mobiles vont amplifier ces attaques. Face aux milliers d'alertes que reçoivent quotidiennement les équipes de sécurité, les responsables recherchent activement des solutions pour contrer les menaces de phishing.

Les plateformes d'automatisation de la sécurité offrent des solutions pour lutter contre la montée en puissance des attaques de phishing mobiles. Les avantages de l'automatisation sont les suivants :

  • Gagnez du temps pour vos analystes SOC grâce à l'investigation et à la mise en quarantaine automatiques.

  • Obtenez une visibilité sur les tentatives d'hameçonnage depuis le tableau de bord.

  • Bloquez les faux positifs grâce à un flux de travail entièrement automatisé.

  • Augmentez votre efficacité grâce à la collaboration en temps réel sur les dossiers.

  • Améliorer les indicateurs de sécurité, tels que la réduction du temps moyen de résolution (MTTR).

L'objectif de l'automatisation est de permettre aux équipes SOC de neutraliser plus rapidement un plus grand nombre de menaces. Ces plateformes automatisent les tâches répétitives et fastidieuses qui accaparent le temps des analystes SOC.

Que vous intégriez l'automatisation de la sécurité à votre SOC ou que vous mettiez en place un processus de réponse aux incidents manuel, le phishing mobile doit figurer parmi vos menaces prioritaires. Sensibilisez vos employés, sécurisez la surface d'attaque croissante et disposez d'un processus de réponse aux incidents rigoureux.

Questions fréquentes sur le phishing mobile

Comment trouver les numéros de phishing mobile ?

Vous pouvez rechercher des numéros de phishing mobile en utilisant des services de recherche inversée de numéros de téléphone en ligne ou des applications mobiles conçues pour identifier et signaler les appels indésirables ou de phishing. Ces services peuvent vous aider à déterminer si un numéro a été signalé pour activité suspecte ou frauduleuse.

L'hameçonnage est-il possible avec un iPhone ?

Les iPhones peuvent être la cible d'attaques de phishing. Ces attaques reposent sur des techniques d'ingénierie sociale pour tromper les utilisateurs, quel que soit l'appareil utilisé. Les iPhones peuvent recevoir des e-mails ou des SMS frauduleux, ou être redirigés vers des sites web frauduleux. Il est donc essentiel de rester vigilant et d'appliquer les bonnes pratiques de sécurité en ligne.

Le phishing peut-il pirater votre téléphone ?

L'hameçonnage peut compromettre votre téléphone. Les attaques d'hameçonnage visent à inciter les utilisateurs à révéler des informations personnelles ou à télécharger des logiciels malveillants. Si elles réussissent, ces attaques peuvent entraîner le vol de données, un accès non autorisé ou la prise de contrôle de votre appareil.

Qu’est-ce que le mishing en cybersécurité ? 

Le mishing (hameçonnage mobile) est une cyberattaque où des escrocs utilisent les SMS ou des applications de messagerie pour inciter les utilisateurs à révéler des informations sensibles, à cliquer sur des liens malveillants ou à télécharger des logiciels malveillants.

Quels autres types d'attaques de phishing peut-on rencontrer sur les appareils mobiles ?

Outre le mishing, les utilisateurs mobiles peuvent être confrontés à :

  • Smishing – Hameçonnage par SMS/texte
  • Quishing – Hameçonnage par code QR
  • Vishing – Hameçonnage par appel vocal
  • Hameçonnage via application – Des applications malveillantes volent des données

En quoi la sécurité contre le phishing sur mobile diffère-t-elle de celle sur ordinateur et portable ?

L’hameçonnage mobile exploite les SMS, les applications de messagerie et les codes QR, ce qui le rend plus difficile à détecter que l’hameçonnage traditionnel par courriel. De plus, les appareils mobiles, avec leurs écrans plus petits et leurs outils de sécurité limités, augmentent le risque de clics accidentels sur des liens malveillants.

GIF animé illustrant l'interface du playbook Swimlane Turbine avec filtrage avancé des panneaux et recherche logique automatisée.

Découvrez la turbine Swimlane en action

Réservez une démonstration en direct de Swimlane Turbine avec nos experts ! Découvrez comment notre plateforme d’automatisation de la sécurité basée sur l’IA peut vous aider à résoudre les problèmes les plus complexes au sein de votre organisation de sécurité.

Demander une démo

Étiquettes

30 novembre 2022
5 menaces pour la sécurité des appareils mobiles de votre entreprise et comment les prévenir
En savoir plus
3 juin 2025
10 types d'attaques de cybersécurité et comment s'en prémunir
En savoir plus
26 septembre 2022
Ne tombez pas dans le piège : Enquête et réponse automatisées en cas d’hameçonnage
En savoir plus

Demander une démo en direct