La plupart du temps, le vishing nécessite un opérateur qualifié pour manipuler les gens.
Les attaquants doivent non seulement être compétents, mais aussi parler la langue de la victime.
Cependant, nous avons constaté que les attaques utilisant des robots d'appel (call bots) sont très populaires pour contourner l'authentification multifacteur (MFA) : un bot automatisé appelle les gens et leur demande le mot de passe à usage unique (OTP) après que les identifiants ont été saisis.
Il s'agit d'un prototype que nous avons conçu comme preuve de concept.
La plupart des bots sont contrôlés via des canaux Telegram et enverront les données après avoir volé des cookies et mis en place un accès persistant grâce à des commandes spécifiques sur Telegram.
Démonstration video
Fonctionnement
C’est assez simple. Tout ce dont les attaquants ont besoin, ce sont des identifiants valides et du numéro de téléphone de la victime.
Les identifiants valides peuvent être obtenus à partir de fuites de données et de données d’infostealers.
Si ce n’est pas directement, la reconnaissance de schémas peut aider à construire des listes de mots de passe pertinentes et à effectuer du bruteforce ou du credential stuffing pour déduire la bonne combinaison.
Les numéros de téléphone peuvent être obtenus via des courtiers en données et la plupart des outils classiques de prospection et d’enrichissement commercial.
Une fois que l’attaquant a cela, il peut lancer le robot d’appel qui va ensuite :
- Appeler la cible
- Expliquer qu’un mot de passe à usage unique basé sur le temps (TOTP) va lui être envoyé pour vérifier son identité, en prétextant une procédure de sécurité
- Se connecter au portail protégé par MFA afin de déclencher le SMS MFA
- Demander à l’utilisateur de saisir le code sur son clavier
- Capturer l’information via les signaux DTMF (les sons que chaque touche du téléphone émet lorsqu’elle est pressée) et l’injecter dans le portail
- Le robot d’appel et le kit de phishing volent ensuite le cookie de session et établissent une persistance en ajoutant une seconde méthode MFA contrôlée par l’attaquant
Le processus est très simple et nous l’avons déjà vu déployé et utilisé avec des canaux Telegram comme interface de commande et de contrôle.
Cela facilite énormément la tâche des attaquants qui ne parlent pas la langue, n’ont pas l’infrastructure ou le savoir-faire pour appeler leurs cibles et mener eux-mêmes l’attaque de vishing.
Notez que les numéros de téléphone peuvent être usurpés assez facilement et que le robot d’appel peut appeler à partir d’un numéro officiel, cohérent avec le prétexte.
Restez prudents et ne répondez pas aux robots d’appel : raccrochez immédiatement aux appels automatisés suspects.
