Des chercheurs en cybersécurité ont découvert une nouvelle méthode employée à grande échelle par des escrocs. Ces derniers utilisent des fermes d’iPhone (les fameuses clicks fars), des installations composées de dizaines ou de centaines de smartphones, configurés avec des identifiants Apple temporaires, et ce, afin de diffuser plus de 100 000 iMessages frauduleux par jour.
Alors que les opérateurs télécoms et fournisseurs de services Internet ont déployé des filtres avancés pour repérer et bloquer les SMS frauduleux, les escrocs semblent avoir trouvé un nouveau canal plus difficile à surveiller : iMessage. Ce système de messagerie, chiffré de bout en bout, rend pratiquement impossible pour les opérateurs de détecter le contenu des messages, laissant le champ libre aux campagnes de phishing.
Les chercheurs de Catalyst, une entreprise spécialisée dans la sécurité, expliquent que cette technique est désormais proposée comme un service via des plateformes illégales, principalement en Chine, avec un modèle de type Phishing-as-a-Service (PhAAS). Cela permet à des personnes n’ayant aucune compétence technique de lancer des campagnes à grande échelle.
Image @ Catalyst
Des escroqueries classiques… mais plus efficaces
Les arnaques diffusées par iMessage ne sont pas nouvelles : faux frais de péage impayés, frais de livraison à régler pour débloquer un colis, ou encore notifications fictives de dettes fiscales. Ce qui change, c’est la portée et la discrétion des campagnes actuelles, rendues possibles par l’infrastructure technique des fermes d’iPhone.
Le groupe XinXin -à l’origine de la plateforme Lucid- est l’un des acteurs identifiés. Il propose des kits de phishing préconfigurés, incluant des copies réalistes de sites web officiels de services postaux, de sociétés de livraison ou d’administrations fiscales. Lucid exploite à la fois les protocoles iMessage (Apple) et RCS (Android) pour améliorer les taux de livraison et contourner les protections classiques.
Image @ Catalyst
Une menace en pleine expansion
Selon Catalyst, les activités de XinXin ciblent 169 entités dans 88 pays, et s’appuient sur une communauté Telegram de plus de 2 000 membres, utilisée pour la vente et le support technique de ces services frauduleux. Une photo, partagée par les chercheurs, montre une ferme d’iPhone rudimentaire, illustrant l’aspect industriel de cette méthode.
Comment se protéger ? Les recommandations restent classiques mais essentielles, comme ne jamais cliquer sur un lien dans un message non sollicité, même s’il semble provenir d’un service connu. Ou encore taper l’URL soi-même ou utiliser un favori enregistré. Enfin on doit être vigilant face aux messages qui poussent à agir dans l’urgence (amendes, colis bloqués qui ne rentre pas dans la boite aux lettres qu'on n'a pas, etc.). Enfin, on peut toujours désactiver l’aperçu des liens dans vos applications de messagerie lorsque cela est possible, et signaler les messages suspects.
Face à une attaque qui tire parti de technologies grand public pour contourner les défenses traditionnelles, la prudence des utilisateurs reste la première ligne de défense.
