Accueil Cybersécurité Lookout piège les exposants des “Assises de la sécurité” avec une fausse...

Lookout piège les exposants des “Assises de la sécurité” avec une fausse campagne de phishing

Fin septembre, le spécialiste de la sécurité mobile Lookout a réalisé une campagne de phishing mobile factice qu’il a envoyée aux exposants de ce salon réservés aux professionnels de la sécurité. Ils étaient invités à cliquer sur un lien, qui, s’il avait été malveillant, aurait compris la sécurité des mobiles de près de 50 % de ces professionnels de la sécurité informatique.

C’est en effet le pourcentage, important, de ceux qui ont cliqué sur le lien, heureusement inoffensif car renvoyant sur une page expliquant la forte croissance du phishing mobile.
Les Assises de la Sécurité est l’un des plus grands événements réservés aux professionnels de la sécurité. Plus d’un millier d’exposants (éditeurs, intégrateurs et cabinets de consultants) accueillent les responsables de la sécurité informatique des plus grandes sociétés françaises et internationales. L’événement se tient cette année du 14 au 17 octobre, à Monaco.

Phase 1 : récupérer les numéros de téléphone mobile

Pour mesurer la vigilance de ces experts de la sécurité, Lookout a utilisé les mêmes méthodes que celles utilisées par les pirates informatiques. Les numéros de téléphone mobiles des exposants ont été récupérés via le réseau social professionnel LinkedIn. L’éditeur a ensuite envoyé un SMS « piégé » invitant les exposants à cliquer sur un lien pour avoir plus d’informations et accepter un rendez-vous avec un “participant du salon”. 

Le SMS envoyé par Lookout

Phase 2 : envoyer les SMS et attendre les clics 

Au total, sur le millier d’exposants inscrits sur la plateforme, plus de 200 d’entre eux ont rendu public leur numéro de portable sur les réseaux sociaux. Ces numéros ont donc été utilisés dans le cadre de cette campagne.
Chaque SMS envoyé lors de la campagne contenait une URL unique, ainsi Lookout a pu établir des statistiques du taux de clic. Le premier clic a été effectué par une victime seulement 10 secondes après l’envoi de la campagne, et dans la première minute, plus de 30 victimes ont elles aussi cliquées. La moitié des victimes ont cliqué au bout des 10 premières minutes.

 

Métriques Résultats
Nombre de numéros de téléphone 214
Nombre de numéros invalides 15
Nombre de clics sur le lien du SMS 97
Pourcentage de clics pour la campagne 48,74 %
Délai minimum pour le 1er clic 10 sec.
Nombre de clics dans les 5 premières minutes 34
Juliette Paoli