Un cybercriminel a récupéré les mots de passe des utilisateurs d’un service en ligne en exploitant une faille de sécurité. Hélas (pour le cybercriminel), le service en question utilise un système d’authentification à 2 facteurs (2FA) via un code OTP envoyé par SMS.
Quelle technique d’attaque le cybercriminel doit-il utiliser pour arriver à contourner cette mesure de sécurité ?
[A] Smishing
[B] SIM swapping
[C] Spear phishing
[D] Whaling
Proposition [A] : Le smishing est une forme de cyberattaque qui utilise des messages SMS pour tromper les destinataires en divulguant des informations personnelles ou financières sensibles. Cette technique d’escroquerie exploite souvent des messages urgents ou alléchants pour inciter les victimes à cliquer sur des liens malveillants, répondre avec des données confidentielles ou exécuter des actions qui compromettent leur sécurité. Le smishing est particulièrement insidieux car il combine la familiarité et la confiance généralement accordées aux messages texte avec des tactiques de phishing sophistiquées.
Proposition [B] : Une des techniques permettant de contourner un second facteur d’authentification envoyé par SMS est appelée SIM swapping (en français échange de carte SIM). Cette attaque consiste à tromper un opérateur de téléphonie mobile pour qu’il transfère le numéro de téléphone de la victime à une carte SIM contrôlée par l’attaquant. Une fois que l’attaquant a accès au numéro de téléphone, il peut intercepter les messages de vérification envoyés par SMS et potentiellement accéder à des comptes sécurisés par une vérification en deux étapes via SMS.
Proposition [C] : Le spear phishing est une forme ciblée de phishing où les attaquants envoient des messages personnalisés pour obtenir un accès non autorisé à des informations confidentielles. Contrairement au phishing général qui vise un large nombre de destinataires sans une véritable personnalisation, le spear phishing utilise des informations détaillées sur les victimes afin d’augmenter la crédibilité des demandes et inciter les destinataires à divulguer des données sensibles, cliquer sur des liens malveillants, ou ouvrir des pièces jointes infectées. Cette méthode requiert une recherche approfondie sur les cibles potentielles (phase de reconnaissance) pour créer des emails convaincants spécifiquement adaptées à chaque victime.
Proposition [D] : Le whaling est une forme spécifique de phishing qui cible les hauts dirigeants d’entreprises ou les individus occupant des positions clés au sein d’organisations, tels que les PDG, CFO ou autres cadres supérieurs. L’objectif est de tromper ces « grosses cibles » (d’où le terme « whaling », faisant référence à la chasse à la baleine) pour obtenir des gains financiers significatifs ou accéder à des informations confidentielles hautement sensibles.
La bonne réponse est la proposition [B]
Pour en savoir plus sur l’authentification des utilisateurs nous vous recommandons de suivre le module n°13 de notre formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE