Les cinq principaux risques auxquels les utilisateurs de smartphones sont confrontés

Dans un récent article, nous avons expliqué comment les appareils mobiles sont aujourd'hui confrontés à une pléthore de cyber menaces qui ne font pas de distinction de matériel ou de système d'exploitation. Nous avons expliqué pourquoi les iPhones ne sont pas à l'abri des attaques, contrairement à une idée reçue, et nous avons montré comment les applications Android vendues en dehors du Google Play Store sont plus dangereuses qu'on ne le pense. Maintenant que nous savons que les menaces en cybersécurité mobile ne sont pas un mythe, examinons de plus près les cinq principales menaces rencontrées par les utilisateurs mobiles aujourd'hui.

Stalkerware (logiciel espion)

Le stalkerware, qui fait partie de la famille des espiogiciels, est un logiciel de surveillance généralement utilisé pour le harcèlement. Le terme « stalkerware » a été inventé lorsque des individus malveillants ont commencé à utiliser des logiciels espions commerciaux pour traquer leurs conjoints. Il est utilisé par les agresseurs domestiques et, parfois même, par les employeurs.

Stalkerware est utilisé pour traquer vos déplacements, enregistrer vos conversations de messagerie instantanée et même allumer la caméra ou le micro pour vous espionner. L'instigateur a généralement besoin d'un accès physique à votre appareil. Cependant, le stalkerware peut également infecter votre téléphone si vous téléchargez et installez involontairement un programme contenant le code malveillant.

C'est pourquoi il est important d'utiliser une solution de sécurité capable de détecter les activités malveillantes sur votre téléphone et, bien sûr, de télécharger et d'installer uniquement des applications à partir de la boutique d'applications officielle approuvée par votre fournisseur.

Phishing/Smishing/Vishing (hameçonnage)

Le phishing (ou hameçonnage) est une tactique d'ingénierie sociale qui fonctionne quelle que soit la plate-forme. Généralement déployées par courrier indésirable, les campagnes de phishing utilisent une pléthore de messages convaincants pour inciter l'utilisateur à divulguer son nom d'utilisateur, son mot de passe ou les informations de sa carte de crédit. La tactique a été modélisée pour utiliser également le SMS comme support d'hébergement, ce qui lui a valu le nom de « smishing » (SMS + phishing). Ces attaques insistent généralement pour que vous appeliez un numéro surtaxé, accédiez à une URL malveillante ou que vous répondiez avec vos informations personnelles ou financières pour gagner un prix. Certains utilisent des tactiques alarmistes et tentent de faire croire aux utilisateurs que leurs données personnelles ont été compromises, les exhortant à prendre des mesures immédiates pour réduire les dommages.

Il existe même un type d'attaque de phishing basé sur la voix appelé, sans surprise, « vishing » (voix + phishing). Les intentions sont généralement les mêmes que celles décrites ci-dessus, mais cette fois, c'est une personne réelle (ou une voix automatisée) qui essaie de vous arnaquer au téléphone. Ils peuvent essayer de voler votre identité et vos informations financières telles que votre code PIN et les détails de votre carte.

Quelle que soit la manière dont elles sont diffusées, les attaques par phishing tentent toujours d'induire un sentiment d'urgence ou de peur. Ne répondez jamais à des messages non sollicités prétendant provenir de votre banque ou de divers fournisseurs, et vérifiez toujours au préalable si le message provient bien d'une source légitime. Cependant, il est important de noter que les escroqueries par hameçonnage évoluent continuellement, ce qui rend parfois difficile, même pour un œil averti, de les repérer. Les solutions de sécurité mobiles modernes sont un choix judicieux car elles peuvent détecter les attaques de phishing que l'utilisateur peut ne pas identifier.

Wi-Fi public

L'utilisation d'un téléphone pour payer ses courses est devenue courante, et il en va de même pour les achats en ligne à l'aide d'un téléphone lors de ses déplacements. Cependant, les réseaux Wi-Fi publics ne sont pas toujours sûrs.

Certains cybercriminels configurent des réseaux Wi-Fi spécifiquement pour voler vos identifiants d'accès ou vos informations de carte de crédit.

L'absence de préfixe HTTPS dans une boutique en ligne est un autre gros signal d'alerte. Les données que vous échangez avec des sites Web HTTP non sécurisés ne sont pas chiffrées, ce qui permet aux acteurs malveillants d'intercepter vos communications dans une attaque dite « de l'homme du milieu » (man-in-the-middle attack).

L'utilisation d'une solution de sécurité sur votre appareil peut réduire considérablement vos risques de tomber dans ce piège, surtout si cette solution est livrée avec un VPN pratique, qui chiffre votre activité numérique et cache votre identité aux regards indiscrets. Bien entendu, il vous incombe avant tout d'être vigilant et de n'utiliser que des sites et réseaux de confiance. En d'autres termes, il est préférable d'avoir une navigation basique lorsque vous utilisez un réseau Wi-Fi public et de n'acheter en ligne qu'à partir de votre réseau domestique. De façon générale, évitez d'utiliser le Wi-Fi public pour diffuser des données sensibles ou des informations financières.

Applications malveillantes

Le rapport 2020 de Bitdefender sur le paysage des menaces pour les consommateurs montre comment la montée en popularité des solutions de visioconférence pendant la pandémie a ouvert la porte aux acteurs opportunistes. Des dizaines de milliers d'utilisateurs ont installé Zoom à partir de magasins d'applications non officiels, s'exposant à des logiciels malveillants déguisés en installateurs de Zoom.

Dans une enquête plus récente, les chercheurs de Bitdefender ont noté que la pratique du chargement latéral - l'installation de binaires APK à partir de référentiels autres que le Google Play Store officiel - est toujours forte parmi les utilisateurs d'Android.

« En utilisant une combinaison d'astuces pour persuader les utilisateurs d'installer des applications hors de la boutique officielle, les cybercriminels ont propagé la plupart de leurs logiciels malveillants via le chargement latéral. Si aucune solution de sécurité n'est installée sur les appareils mobiles, les applications malveillantes circulent librement », ont écrit nos chercheurs dans un récent article de Bitdefender Labs.

Les acteurs malveillants tirent parti du chargement latéral pour déployer Teabot, également connu sous le nom d'« Anatsa », un logiciel malveillant Android qui peut effectuer des attaques par superposition via les services d'accessibilité. Teabot peut intercepter des messages, effectuer des activités d'enregistrement de frappe, voler des codes d'authentification Google et même laisser ses auteurs prendre le contrôle à distance total du téléphone d'un utilisateur. Teabot est caché dans de fausses applications copiant des homologues populaires de la boutique officielle Google Play, y compris des bloqueurs de publicités et des applications antivirus.

Mauvaise gestion des codes d'accès

De tous les appareils personnels, nos téléphones contiennent de loin les informations les plus sensibles à notre sujet. L'utilisation d'un code d'accès facile à deviner comme 0000 ou 1234 est d'une légèreté quasi coupable. Il en va de même pour le mot de passe que votre téléphone connaît pour autoriser l'accès à vos services intégrés (votre identifiant Apple, votre compte Google, etc.). Si vous utilisez le même mot de passe partout, il y a de fortes chances que ce mot de passe soit exposé tôt ou tard dans une violation de données. En utilisant le grattage de données (data scraping) et la pulvérisation de mots de passe (password spraying), des pirates peuvent recréer votre identité numérique et compromettre le compte associé à votre téléphone. Ils ont non seulement accès à vos données personnelles et financières, mais ils peuvent même vous mettre à la porte et vous interdire l'accès à votre propre appareil.

Bitdefender Digital Identity Protection vous permet de vérifier vos comptes en ligne contre les violations de données privées, de trouver vos informations personnelles en ligne dans des collections de données légales ou illégales, de détecter vos usurpateurs sur les réseaux sociaux et bien plus encore.

Mobile Security à la rescousse

Si vous vous êtes déjà demandé « quels sont les risques de sécurité associés à mon téléphone ? » vous êtes sur la bonne voie pour vous défendre contre les cybermenaces.

Bitdefender Mobile Security est disponible pour les utilisateurs d'iPhone ou d'Android et offre une protection complète contre les menaces spécifiques aux mobiles, ainsi qu'un VPN sécurisé pour une expérience rapide, anonyme et sûre tout en surfant sur le Web. Bitdefender Mobile Security aide les utilisateurs à sécuriser leurs mots de passe, leurs données privées et leurs informations financières, et vous alerte instantanément chaque fois qu'un incident est détecté et évité.

Restez vigilant !