Les experts de Kaspersky ont découvert une multitude de pages de phishing prétendant vendre l’iPhone 14, mais visant en réalité à vider les comptes bancaires des victimes et à voler leurs identifiants Apple.
Le téléphone fera ses débuts le 7 septembre et, entre le 10 et le 25 août, les solutions de sécurité de Kaspersky ont détecté plus de 8 700 nouveaux sites de phishing liés à l’iPhone. Rien que le 25 août, les chercheurs ont détecté un total de 1 023 pages de phishing liées à l’iPhone – presque le double du nombre moyen.
Avant la sortie de tout nouvel iPhone, les acteurs malveillants créent de fausses pages où les utilisateurs peuvent précommander un nouvel appareil à prix réduit ou en acheter un avant le lancement officiel. Étant donné que les photos officielles de l’iPhone 14 ne sont pas encore apparues en ligne, les malfaiteurs utilisent des photos d’anciens modèles de téléphones pour attirer l’attention des utilisateurs.
L’identifiant Apple dans le réticule
L’attention portée à la popularité des iPhones ne se limite pas à la seule sortie de nouveaux modèles, car les acteurs de la menace peuvent gagner beaucoup en accédant à l’identifiant Apple d’une victime, le compte utilisé pour accéder aux services Apple tels que l’App Store, Apple Music, iCloud, iMessage, FaceTime et plus encore.
En imitant une page de connexion Apple ID standard, les pirates tentent d’inciter les victimes à saisir leur nom d’utilisateur et leur mot de passe sur la page de phishing. CLes cybercriminels font souvent pression sur les victimes en leur disant qu’ils pourraient perdre leur appareil à tout moment en raison d’une menace.
Par exemple, les chercheurs de Kaspersky ont trouvé des exemples de pages de phishing qui apparaissent soudainement sur l’écran de l’appareil et avertissent la victime que “l’accès à cet appareil Apple a été bloqué en raison d’activités illégales”.
Afin de déverrouiller l’accès à l’appareil, la cible est encouragée à appeler un faux numéro d’assistance Apple, géré par les attaquants. Appelés « vishing » (abréviation de phishing vocal), ces stratagèmes incitent les utilisateurs à révéler des informations personnelles et des coordonnées bancaires par téléphone.
Parfois, les pages de suivi peuvent “verrouiller” l’écran de l’ordinateur, n’affichant que le message de menace, de sorte que l’utilisateur n’a d’autre choix que d’appeler le numéro des escrocs.
Vérifier, vérifier et vérifier encore
Pour éviter d’être victime d’escroqueries, Kaspersky recommande aux utilisateurs de vérifier l’authenticité du site Web avant de saisir des données personnelles et de n’utiliser que des pages Web officielles et fiables.
De même, vérifiez les formats d’URL et l’orthographe du nom de l’entreprise, et ne suivez jamais les liens des e-mails, mais ouvrez plutôt un nouvel onglet ou une nouvelle fenêtre et saisissez l’URL manuellement.
Évitez également de vous connecter aux services bancaires en ligne et aux services similaires via les réseaux Wi-Fi publics. Les hotspots sont pratiques, mais il est préférable d’utiliser un réseau sécurisé. Des réseaux ouverts peuvent être créés par des criminels qui, entre autres, usurpent des adresses de sites Web via la connexion et vous redirigent ainsi vers une fausse page.
