Alerte info : cette application de messagerie victime d’un piratage…

L'application de messagerie Signal est victime d'une arnaque bien menée qui avait pour cible Twilio. On vous explique tout.

Source : iStock

Le phishing continue de faire des dégâts et des victimes. Aujourd’hui, c’est l’application de messagerie Signal qui est la victime collatérale d’une nouvelle attaque de grande ampleur, particulièrement bien rodée, qui a pris pour cible Twilio. Ce sont les données de 2 000 utilisateurs qui ont été volées. On fait le point avec vous sur cette nouvelle qui n’a rien de rassurant et sur les différentes techniques pour ne pas se faire avoir par le phishing.

Une application de messagerie victime d’une arnaque

Ce n’est pas à proprement parler Signal qui est victime de cette arnaque au phishing mais Twilio. Il s’agit d’une entreprise inconnue mais indispensable pour permettre le bon fonctionnement de l’application de messagerie. Et pour cause, c’est Twilio qui fournit à Signal un service de vérification du numéro de téléphone au moment où un utilisateur s’inscrit à la messagerie instantanée. Mais Twilio est victime d’une attaque au phishing, et a condamné dans sa chute Signal, et les données de 2 000 utilisateurs.

Comment cette attaque a-t-elle fonctionné ? Elle a touché directement les employés de Twilio, qui ont été invités par le faux service informatique de la société à se connecter de nouveau à leur compte. Vous connaissez le fishing. Les arnaqueurs ont copié l’interface du service informatique afin de jouer avec la crédulité des employés. Et cela a marché. Puisque les employés ont suivi le lien frauduleux, les escrocs ont eu accès aux identifiants. Ainsi, ils ont pu s’attaquer à des utilisateurs de Signal.

 

Voir cette publication sur Instagram

 

Une publication partagée par Jay Mahajan (@jaymahajan_)

Quelles sont les données de la messagerie qui ont été volées ?

Dès que Signal s’est rendu compte de l’arnaque, un communiqué a été publié. L’application de messagerie commence par prévenir 1 900 utilisateurs. Un pirate a pu tenter de réenregistrer le numéro sur un autre appareil, ou apprendre que le numéro a été enregistré sur Signal. En revanche, et c’est une bonne nouvelle, aucune autre donnée n’a été affectée (par exemple, l’historique des messages, les listes de contact, les informations du profil ou toute autre donnée personnelle). Pourquoi ? Car elles ne sont pas stockées dans les serveurs de Signal. Elles sont stockées directement sur l’appareil. 

L’application précise que le pirate derrière cette vaste campagne de phishing était en réalité à la recherche de trois numéros. Il a pu en obtenir un. Par conséquent, il a pu envoyer des messages avec le compte de la victime. Pour rester tranquille, les utilisateurs de Signal devront à nouveau s’enregistrer dans l’application (si elle le demande) et activer la fonction de blocage d’enregistrement (dans les réglages). On vous conseille de faire cela pour être tranquille car cette option a tout simplement été conçue en ayant en tête l’éventualité d’une arnaque de ce type.

Le phishing fait de nombreuses victimes 

C’est une arnaque qui repose sur un système d’une simplicité enfantine, mais diaboliquement efficace. Les arnaqueurs se font tout simplement passer pour un organisme officiel. Les victimes pensent se trouver au bon endroit et se font guider. Elles finissent par indiquer leurs données personnelles. Et c’est déjà trop tard. Ces informations sont entre les mains de personnes mal intentionnées qui vont parfois jusqu’à vider les comptes de la victime.

Souvent, certains organismes officiels font des communiqués pour indiquer être la cible de malfaiteurs. C’est le cas de la CAF ou de la Poste, souvent copiées pour permettre aux arnaqueurs de récupérer des sommes d’argent.

Pour vous donner un exemple de phishing, sans doute avez-vous été confrontés à des appels incessants, des mails et / ou des SMS concernant le CPF. En effet, les arnaqueurs mettent en effet les bouchées doubles. Leur but est simple. Ils souhaitent récupérer les accès à votre compte pour aspirer tous les euros qui se trouvent dessus. Pour éviter de tomber dans le panneau, partez d’un constat simple, valable pour toutes les arnaques.

Vous ne devez tout simplement jamais remplir des informations personnelles en cliquant sur un lien reçu par mail. En cas de doute, rendez-vous par vous-même sur le site officiel, sans passer par un lien reçu par email. Les arnaqueurs sont doués. Par exemple, ils vous envoient un email en se faisant passer pour la CAF. Et le site qu’ils créent pour l’occasion ressemble comme deux gouttes d’eau au site officiel.