FRANDROID 🔵 Darcula : une campagne de phishing d’un nouveau genre qui vampirise vos données

Il sévit depuis l’été dernier dans plus de 100 pays : le service de phishing Darcula utilise le protocole RCS, et plus le SMS, pour tromper ses victimes.

Le hameçonnage (phishing) est l’une des menaces les plus fréquentes et les plus efficaces pour les pirates. De milliers d’utilisateurs se font berner chaque mois par des messages et faux sites officiels parfois très convaincants avec à la clé le vol de données confidentielles et bancaires.

Une attaque de hameçonnage d’un nouveau genre sévit depuis l’année dernière dans pas moins de 100 pays, notamment parce qu’elle délaisse les SMS pour exploiter le protocole RCS utilisé par Google Messages et bientôt par iMessage de l’iPhone.

Darcula, le phishing qui utilise le protocole RCS

Darcula, c’est son nom, est un PhaaS (Phishing-as-a-Service), un service de phishing vendu clé en main à qui voudrait monter sa petite affaire d’hameçonnage. Celui-ci est visiblement utilisé depuis l’été dernier dans pas moins de 100 pays à travers le monde selon le site Bleeding Computer, qui cite le chercheur en sécurité Oshri Kalfon.

Plus de 20 000 domaines ont été usurpés dans des secteurs aussi variés que les services postaux, les compagnies aériennes, les banques et le gouvernement. Darcula offre à ses « clients » pas moins de 200 modèles de faux messages et sites web pour tromper leurs victimes, avec des imitations quasi parfaites des sites de UPS ou encore USPS aux États-Unis.

La particularité de Darcula, c’est qu’il utilise le protocole RCS ainsi qu’iMessage sur iPhone pour envoyer ses liens dangereux aux victimes. Ces différents protocoles sont vendus comme plus sécurisés par Google et Apple, si bien que ces messages semblent donc authentiques à première vue. Pour l’iPhone, les criminels sont ainsi obligés d’utiliser de multiples Apple ID via macOS pour envoyer plusieurs centaines de messages et contourner ainsi les limitations d’iMessage.

De plus, les messages étant cryptés, ils sont ainsi indétectables par les opérateurs téléphoniques, « laissant la détection des spams sur les appareils de Google et d’Apple et les applications tierces de filtrage des spams comme première ligne de défense pour empêcher ces messages d’atteindre les victimes » selon le site Netcraft.

Évidemment, ces messages émanent bien souvent d’adresses mail douteuses ou de numéros absents de votre liste de contacts, leur origine douteuse est pour la plupart d’entre eux évidente. Mais certains attaquent peuvent utiliser des numéros de service et tromper plus aisément leurs victimes. C’est le cas en France depuis quelques mois et les récents piratages des services Ameli et France Travail.

Comme toujours, on vous conseillera de bien vérifier la provenance de ces messages et notamment la présence de liens douteux. Une instance administrative ne vous demandera jamais de cliquer sur un lien dans un SMS ou RCS. Et comme le rappelle le site Netcraft, les fautes d’orthographe et grammaticales sont toujours un bon moyen de détection.