Dans Messages, il est facile de se faire passer pour Apple : attention aux arnaques !
Un lecteur nous a fait remonter une nouvelle arnaque assez sophistiquée qui pourrait piéger même les plus prudents d'entre nous. Celle-ci repose sur un message de phishing reçu après un vol de téléphone, une technique ancienne mais bien rodée. La nouveauté est que désormais, les messages arrivent directement sur le fil de discussion « officiel » d'Apple déjà présent sur Message.
Après s'être fait voler son iPhone sur Bruxelles, Benoit a rapidement activé le mode perdu afin d'être recontacté par une âme charitable. Sur l'écran d'alerte, il a indiqué le numéro de téléphone d'un ami. Après deux jours sans nouvelles, il décide alors d'effacer le contenu de l'iPhone à distance.
Le lendemain, l'ami ayant laissé son numéro reçoit un étrange SMS arrivant directement sur le même fil de discussion que les messages habituellement envoyés par Apple. Celui-ci explique que l'iPhone a été retrouvé et sera expédié à l'Apple Store le plus proche. Un lien invite l'utilisateur à obtenir des informations sur l'emplacement du téléphone volé.
Ce lien est frauduleux, comme le nom de domaine qui n’appartient pas à Apple le suggère bien dans l’URL : ce n’est ni apple.com
, ni icloud.com
. Rien que cet indice devrait suffire à repérer l’arnaque, mais on ne fait pas toujours attention et Benoit a cliqué dessus. Il a alors vu une page web représentant l’écran verrouillé d’un iPhone, avec saisie d’un code comme celui demandé par iOS. Puis une fausse page de connexion iCloud est apparue, mais flairant l'arnaque, Benoit décide de ne pas aller plus loin. Depuis, le lien a été désactivé.
Cette arnaque est assez courante et de nombreux utilisateurs expliquent sur des forums et les réseaux sociaux avoir vécu des situations similaires. Les arnaqueurs envoient souvent plusieurs messages à la victime, quand ils ne l'appellent pas en se faisant passer pour Apple afin d'obtenir des coordonnées et codes de sécurité. C’est d’ailleurs probablement pour cette raison que Benoît a vu un faux écran d’accueil en cliquant sur le lien : l’objectif est de récupérer un code qui pourrait servir si l’iPhone n’a pas été effacé.
Pour se faire passer pour Apple dans l’app Messages, les malfaiteurs utilisent des sites d'envoi de SMS en ligne sur lesquels on peut personnaliser le nom de l'expéditeur. Si ce nom est identique à une conversation déjà présente, l'application de messagerie instantanée d’Apple va fusionner les deux conversations. Grâce à ce genre de sites, j'ai pu m’envoyer des messages de phishing qui se sont effectivement retrouvés dans les conversations officielles d’autres entreprises :
Le site que j'ai utilisé est à vocation professionnelle, et je n'ai pas réussi à m'envoyer de faux message en tant qu'Apple. Si ce site bloque les noms d'expéditeurs potentiellement frauduleux, nul doute que l'on peut trouver des concurrents nettement moins regardants. Cette « astuce » fonctionne aussi visiblement avec les appels téléphoniques.
Il semble étonnant que Cupertino laisse faire cela : on pourrait imaginer qu'un filtre intégré à l'application bloque directement les expéditeurs se faisant passer pour Apple. La morale, c’est qu’en cas de vol de votre iPhone, faites donc très attention aux messages que vous recevez. Et surtout, vérifiez bien les URL que vous recevez et évitez de cliquer directement. Dans le cas d’Apple, mieux vaut ouvrir le site officiel du constructeur sans passer par un message, vous serez sûr de tomber au bon endroit. Sur Android, Google travaille actuellement à un système vérifiant l'authenticité des SMS.
Est-ce que vous avez déjà reçu un faux SMS d’Apple dans l’app Messages suite à un vol ou une perte d’iPhone ? N’hésitez pas à témoigner dans les commentaires !
La question que je me pose, c’est le téléphone à été volé mais comment le numéro de téléphone de son ami s’est-il retrouvé sur les bases de données de pirates exerçant ce genre de phishing ?
@duke_fsc
Parce que la personne avait laissé le numéro de son ami plutôt que le sien sur le téléphone perdu.
Donc la personne a laissé un message sur le numéro de l'ami qui était affiché sur le téléphone pour être contacté.
@rolmeyer
Je suppose que c’est actif si on n’a un seul appareil Apple
@Dv@be
Non, pas forcément. Je reçois aussi des messages avec code de validation de la part d’Apple sur mon iPhone, Mac et iPad (tous avec le même compte iCloud).
Apple utilise la même méthode en interne, si on veut se connecter sur les sites réservés aux employés (HRweb, MyPage, etc…).
L’avantage, c’est que la page web reconnaît le code venant de Messages, et le clavier propose de le rentrer en un tap.
Le code avec la carte et l’emplacement c’est, normalement, lors de la première connexion sur un nouvel appareil.
@rolmeyer
Ah c’est bizarre ça…
@rolmeyer
De mémoire, ca fonctionne ainsi si tu active la double authentification sans appareil de confiance.
@turismo
C’est ça 😉
@rolmeyer
Oui et il me semble par iMessage c’est uniquement les confirmations de commande via info@order.apple.com suivi d’un https
@rolmeyer
Tu peux avoir plusieurs compte Apple (ex : un pour les achats et un pour iCloud), mais un seul peut être lié à ton device Apple.
@rolmeyer
Pareil, mais c’est peut-être ce qui arrive pour les gens qui n’ont qu’un seul appareil Apple ou ancien.
Il y a des années qu'on a fait remonter cette faille de iMessage à Apple. Ça n'a jamais été considéré comme suffisamment dangereux pour justifier la mise en place de mesures de protections.
@SyMich
Pourtant ils font un programme de Bounty Hunters sur les failles ! Ça devrait en faire partie il me semble.
La première fois où on a signalé ce problème de sécurité, le bug bounty d'Apple n'existait pas encore. Et de toutes façons, comme le problème est superbement ignoré par Apple depuis des années, aucune chance qu'ils rémunèrent qui que ce soit pour cette faille.
@SyMich
C’est dommage, ça mériterait d’être corrigé…
Ce n’est pas une faille de sécurité, c’est le fonctionnement du protocole SMS et c’est pareil pour les e-mails, on écrit ce qu’on veut dans le champ expéditeur.
Je ne dis pas que ce n’est pas un problème, cet exemple le prouve, mais c’est connu et il n’y a pas de façon simple d’empêcher des utilisations frauduleuses.
@brian02
Le problème c’est que sur iPhone il n’y a aucun moyen d’afficher ou différencier dans les conversation le numéro qui est derrière le sender id ni de connaître le centre SMS d’origine.
Déjà c’est un nid à emmerdement cette fusion de numéros différents dans une seule conversation. Ça m’a obligé à avoir des fiches en double pour le même interlocuteur en donnant des prénoms bidons pour distinguer les conversations personnelles des conversations professionnelles.
Il fallait vraiment être très tordus pour inventer une fonctionnalité qui mets une pagaille pareille. Un numéro = un fil de discussion c’était tellement simple et logique.
Avec leur nouillerie on ne sait même plus vers quel numéro part un sms et avec un peu de malchance la lecture en sera retardée suffisamment pour planter un message un peu urgent.
@Phiphi
+1000
@Phiphi
On voit que tu n'as pas compris l'erreur ici. Mais ce n'est pas grave
@lion.mar
Je ne sais pas de quelle erreur tu parles, mais en tout cas j’ai bien compris le problème : des messages qui proviennent de numéros différents se rangent dans la même conversation, parce qu’y sont associés le même nom d’émetteur. Ça ne devrait JAMAIS arriver. Et ca ne serait JAMAIS arrivé sans cette idée saugrenue de fusionner des messages d’un même interlocuteur ayant plusieurs téléphones.
C'est exactement ça.
Et le piège c'est que l'expéditeur peut se faire passer pour Apple (comme relaté dans l'article), mais il peut aussi se faire passer pour votre banque, ou pour n'importe quel service officiel qui utilise ces sms de validation, pour récupérer vos identifiants d'accès à ces services.
Oui, ça sent la fausse bonne idée (et qui s'entête en plus).
On crée une solution à un problème qui n'en est pas un, ou on met le filtre au mauvais endroit.
On voit bien l'idée sous-jacente de simplifier l'usage mais ça se confronte aux cas particuliers -Tel Pro/Perso,
- iPad/FeaturePhone-Android (ma mère a un vieux tel pourri et un iPad, je ne sais jamais si elle reçoit au bon endroit/au bon moment).
Qui au final créé un trou de sécurité, et un troisième user case
- Les forbans vont pouvoir en profiter
ça devrait se gérer au niveau du carnet d'adresse/fiche contact ou via réglage individuel/fusionner ces conversations, mais non c'est géré en global et sans option dans les préférences
En l'occurence les messages ne proviennent pas de "Numéro" comme tu le dis, c'est un peu plus complexe, mais je vais pas rentrer dans les détails,
Pour te donner un exemple, tu verra qu'il ne t'es pas possible de trouver le numéro d'apple, tout simplement car il n'y en as pas.
J’ai lu un témoignage tout a fait similaire il y a quelques semaines, comme quoi il ne faut jamais baisser la garde. Effectivement ça serait bien qu’Apple réagisse vite à trouver une parade pour que Message différencie les messages officiels de ceux potentiellement frauduleux.
Il faut que tu fasse attention ou tu donnes ton numéro de téléphone, tu dois ne pas être très prudent, de mon côté je n'ai jamais rien reçu et aucune connaissance n'as reçu de tel message.
Pas besoin de laisser imprudemment traîner son numéro pour recevoir ce type de messages (spam ou phishing).
En France, par exemple, tous les numéros possibles en 06 sont attribués (d'où la nécessité de proposer aussi des numéros en 07). Donc les spammeurs ou phisheurs lancent leurs messages à tous les numéros possibles en étant sûr à près de 100% de tomber sur des numéros valides.
@rolmeyer
Ça arrive souvent, c’est vrai, mais il y a aussi une autre explication. Les numéros en 06 sont utilisés plusieurs fois. J’ai ainsi reçu plusieurs coups de fil de sociétés en recouvrement dès le premier jour. Mon contact chez Orange a vu l’historique des contrats de ce numéro et j’étais loin d’être le premier !
Faudrait surtout que ces SMS avec un nom plutôt qu’un numéro ne soient plus possible, on ne peut pas les rendre indésirables nativement comme on le fait pour un numéro, c’est une plaie.
Merci pour ces infos utiles
Perso je pense que je serai tombé dans le panneau ⚠️
"des sites d'envoi de SMS en ligne sur lesquels on peut personnaliser le nom de l'expéditeur"
En 2021, c'est toujours possible de faire cela, mais que ceux qui ont la main la dessus se pendent...
Idéalement il faudrait arrêter d'utiliser les sms et les lignes et tout basculer vers signal et autres. Mais sans 3G c'est difficile.
Perso j'ai reçu plus de tentatives de phishings via Signal que via SMS...
@Ichigo-Roku
La différence avec les SMS est qu'il n'y a aucune différence entre le vrai et le faux. J'en ai usé une fois en envoyant un message :
"888" messagerie Orange : le 13/07/21 à 18h52 ce correspondant a appelé quarante fois sans laisser de message.
Impossible de faire la différence avec le message officiel d'orange.
Idéalement il faudrait arrêter d'utiliser les sms et les lignes et tout basculer vers signal et autres. Mais sans 3G c'est difficile.
Pas de Apple, mais de plusieurs autres qui tentent de se faire passer pour une compagnie, par exemple UPS.
Oui, j’ai eu aussi et également après le vol;de mon iPhone.
Le côté fake m’a paru évident, surtout dans ce contexte de post vol, par contre le fait que le message soit envoyé apparemment d’Apple (donc sous des message vraiment d’Apple) m’a beaucoup déstabilisé.
J’ai changé tous les mots de passe et ai failli même changer de numéro (avant d’y renoncer devant l’ampleur de la tâche).
Déjà : Apple Store le plus proche de votre région…
Déjà rien que ça !
Avec iOS 15, iPadOS 15, on pourra plus facilement localiser les iMachins
Il faut bombarder de messages le compte Twitter de Tim Cook