Un utilisateur Apple a été la cible d’une attaque phishing extrêmement sophistiquée. L’offensive exploitait une faille dans le service d’assistance d’Apple. Quand les hackers parviennent à se faire passer pour la marque californienne, même les utilisateurs les plus prudents peuvent tomber dans le piège.
Eric Moret, un internaute qui se sert de la plateforme Medium, indique avoir été visé par « l’attaque de phishing la plus sophistiquée » qu’il a jamais vue. Comme l’explique l’internaute dans un billet de blog, les cybercriminels sont parvenus à détourner le système d’assistance d’Apple. Il a bien failli tomber dans le piège et confier les clés de son compte à des hackers.
Tout a commencé par la réception d’un SMS. Celui indiquait qu’un code d’authentification Apple avait été demandé par son compte. Plusieurs notifications de vérification sont ensuite apparues sur l’écran de ses divers appareils Apple, comme son iPhone, son iPad et son Mac. Il a vite compris que quelqu’un était en train de forcer l’accès à son compte, mais que la double authentification lui barrait le chemin. Le but de la manœuvre est de mettre un peu la pression sur l’utilisateur. À ce stade, l’internaute lambda soit simplement se demander ce qu’il se passe.
À lire aussi : iPhone perdu ou volé – attention à cette arnaque qui cherche à pirater votre compte Apple
« Votre compte est actuellement sous attaque »
Quelques minutes plus tard, un numéro de téléphone inconnu l’a appelé sur son iPhone. Son interlocuteur assurait faire partie des équipes d’assistance d’Apple. Rapidement, le faux service client révèle que « votre compte est actuellement sous attaque » et que quelqu’un de chez Apple « vous contactera prochainement ».
Dix minutes après ce premier coup de fil, le même numéro a rappelé. L’interlocuteur expliquait faire « le suivi de l’attaque » et souhaitait sécuriser son compte. Pour berner sa cible, le pirate a créé un véritable dossier d’assistance chez Apple. En amont de l’appel, le hacker a utilisé le site officiel d’Apple pour ouvrir un ticket d’assistance avec le nom de la victime et son adresse mail.
De facto, la personne ciblée a reçu un mail officiel de la part de la marque, en provenance de [email protected], avec un vrai numéro de dossier. Au téléphone, le faux service d’assistance demande à l’internaute de vérifier sa boîte mail pour qu’il tombe sur le mail officiel. L’astuce permet d’endormir la méfiance de la cible. À ce stade, il est difficile de ne pas tomber dans le panneau. La victime peut même vérifier que le numéro de dossier est valide sur le site officiel d’Apple. Tout porte à croire que l’internaute échange bien avec un employé de chez Apple.
Un mot de passe à réinitialiser
Le pirate va alors demander à sa cible de réinitialiser son mot de passe iCloud, prétextant le piratage de son compte. Rassuré par le mail officiel d’Apple, l’internaute accepte de réinitialiser son mot de passe. Le pirate, décidément très malin, ne demande pas le code d’authentification à deux facteurs.
Une fois que le mot de passe a été changé, le faux agent d’assistance affirme que l’attaque a été repoussée et qu’il va falloir clore le dossier d’assistance, ce qui est logique. Pour boucler le dossier, la cible est invitée à cliquer sur un lien reçu par SMS. Le lien redirige vers un faux site reprenant l’interface de celui d’Apple.
« Il y avait un champ pour le numéro de dossier. On m’a demandé de le saisir et, pour me rassurer, on m’a lu les quatre derniers chiffres du dossier, qui correspondaient à ceux de l’e-mail de confirmation. Tout semblait normal », témoigne Eric Moret.
Faille du système d’assistance d’Apple
Pour clôturer l’opération, l’utilisateur n’a plus qu’à entrer un énième code de vérification de six chiffres envoyé par Apple. C’est à ce moment-là que le piège se referme. Ce code de vérification a rapidement permis au pirate à l’origine de la cyberattaque de se connecter au compte Apple. Il s’agissait en effet d’un code de double authentification. En clair, tout le déroulé de l’attaque n’était qu’un préambule pour mettre en confiance l’utilisateur et le convaincre de communiquer le code sans sourciller.
Toujours au téléphone avec l’escroc, Eric a reçu un mail d’Apple indiquant qu’un appareil inconnu s’est connecté à son compte. Il a alors compris la supercherie, et changé à nouveau ses identifiants. Cette nouvelle réinitialisation a coupé l’accès des pirates à son compte. L’utilisateur estime que le système d’assistance d’Apple souffre d’une « faille critique » car il permet à quiconque de créer des demandes d’assistance légitimes au nom d’autrui. C’est ce qui a donné de la crédibilité au pirate. Par contre, l’utilisateur a été sauvé in extremis par une alerte émise par Apple.
Méfiez des dossiers d’assistance ouverts par autrui
Par ailleurs, ce n’est pas la première fois que les notifications de vérification d’Apple sont exploitées dans le cadre d’une cyberattaque. L’an dernier, des cybercriminels avaient déjà bombardé des utilisateurs de centaines de notifications qui demandent d’autoriser ou de refuser la réinitialisation du mot de passe. Là encore, il s’agissait uniquement d’un prélude à un appel visant à dérober des identifiants.
On vous recommande de ne pas faire confiance aux appels non sollicités, même lorsqu’ils évoquent des numéros de dossier officiels. Évitez de cliquer sur les liens reçus concernant des problèmes de sécurité dans vos SMS ou e-mails, et refusez toute demande de code de confirmation pendant un appel d’assistance. Soyez particulièrement vigilant si ces appels coïncident avec de réelles notifications de sécurité. Surtout, il ne faut jamais accorder votre confiance à un ticket d’assistance qui a été ouvert par quelqu’un d’autre.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Medium