Le SMS est l'un des chemins d'attaque privilégiés des acteurs malveillants. Au fil du temps, le protocole est devenu de plus en plus sécurisé, même si les attaquants trouvent des moyens de contourner certains filtres. Ainsi, Android intègre nativement des options et des outils qui vous aideront à protéger votre appareil des tentatives de fraude par SMS.
Dans un nouveau billet de blog, Google alerte le public sur l'une des méthodes d'attaque par SMS les plus courantes à l'heure actuelle. Il mentionne également les outils intégrés par Android pour empêcher la réussite de telles attaques.
Les attaques FBS visent à exploiter les vulnérabilités du protocole SMS
Selon le billet de blog, de nombreuses attaques SMS utilisent de fausses stations de base (FBS). Également connus sous le nom de simulateurs de sites cellulaires ou Stingrays, ces appareils simulent un réseau d'opérateur auquel votre appareil tentera de se connecter. En général, ces appareils diffusent un réseau 2G, même s'il est parfois camouflé en 5G. Les attaquants doivent rétrograder le réseau de votre appareil en 2G pour exploiter les vulnérabilités du protocole SMS qui ne sont pas présentes dans les réseaux 4G ou 5G.
Si l’attaquant parvient à attirer votre appareil dans le réseau FBS 2G, une injection de phishing (également appelée « SMS Blaster ») commencera. Le phishing consiste à envoyer des messages malveillants déguisés en entreprises réelles et dignes de confiance. Les attaquants utilisant FBS ont un contrôle total sur le message et la manière dont il est affiché, ils peuvent donc être très convaincants. Les messages frauduleux contiennent souvent des liens qui vous redirigent vers des sites qui cherchent à voler vos données ou à vous inciter à télécharger des applications contenant des logiciels malveillants.
Ceux qui ont recours aux attaques par FBS portent même ces appareils avec eux. Ils sont compacts et sont vendus librement en ligne. Utiliser des appareils FBS pour des tentatives de fraude par SMS est beaucoup plus lucratif que de tenter de phishing via les réseaux des principaux opérateurs. Les télécoms mettent en œuvre plusieurs couches de sécurité anti-phishing au niveau du réseau. Ainsi, la plupart des messages malveillants n'atteindront jamais les utilisateurs. Cependant, le FBS permet à l'attaquant de contourner entièrement le réseau de votre opérateur.
Ces fonctionnalités Android vous protègent contre la fraude par SMS
Après avoir expliqué le contexte des attaques SMS Blaster, Google a mentionné les options Android qui vous aideront à vous protéger des tentatives de fraude par SMS. Tout d'abord, à partir d'Android 12, les utilisateurs peuvent désactiver la recherche 2G au niveau du modem. Cela rendra les tentatives d'attaque via FBS complètement inutiles car votre téléphone ignorera les réseaux 2G. Au départ, l'option était exclusive aux téléphones Pixel, mais désormais tous les Android sont pris en charge.
De plus, à partir d'Android 14, le système d'exploitation peut désactiver les chiffrements nuls. C'est important car les attaques basées sur FBS définissent un chiffrement nul pour initier une injection de phishing. Ces deux fonctionnalités à elles seules devraient vous protéger, mais ce n'est pas tout. Android intègre également une protection antispam au niveau du système d'exploitation. Ainsi, si le FBS potentiel contourne les protections réseau de votre opérateur, il devra également s'attaquer à la couche de sécurité d'Android.
Le système d'exploitation inclut également le système SMS vérifié. Celui-ci vous permet de savoir si un message provient d'une entreprise légitime via une coche bleue. Ensuite, il y a le système de navigation sécurisée d'Android qui vous avertit des liens potentiellement dangereux. Enfin, Google Play Protect analyse vos applications et vous avertit si l'une d'entre elles est une source potentielle de logiciels malveillants. Tous ces outils vous aideront à protéger votre Android contre les tentatives de fraude par SMS. Quoi qu'il en soit, n'oubliez pas que le bon sens est un autre niveau de sécurité important, et qu'il est de votre côté.
