Le faux site web, arme historique des phishers, n'est certes pas encore prêt de disparaître. Mais il a désormais de la concurrence : le faux centre d'appels.

Selon la société antispam Cloudmark, une attaque de phishing d'un genre nouveau a sévi aux Etats-Unis durant quelques jours. Les courriers frauduleux ne proposaient pas à l'internaute de "confirmer" ses informations personnelles en cliquant sur un lien, mais plutôt en appelant un numéro de téléphone. Le principe, bien entendu, reste le même : à l'autre bout de la ligne, nulle banque mais un escroc prêt à détrousser sa victime.

Ce changement de support est probablement d'une efficacité diabolique : alors que les internautes commencent tout juste à apprendre à se méfier des faux sites bancaires, bon nombre d'entre eux seront rassurés à l'idée d'appeler ce qu'ils pensent être leur banque. Sans prendre bien entendu le temps de vérifier le numéro.

Techniquement, bien sûr, mettre en oeuvre un faux centre d'appels est un peu plus contraignant que de pirater un vulgaire PC afin d'y installer un site web frauduleux. Mais ce n'est pas beaucoup plus compliqué. D'autant que les offres de PBX se généralisent (tel le projet Open Source Asterisk, par exemple) et que des opérateurs se spécialisent dans l'acheminement du trafic de voix sur IP à partir des téléphones fixes. Lors de cette première attaque, d'ailleurs, les communications transitaient par un petit opérateur local américain. Il devient ainsi possible à n'importe qui de se créer un numéro de téléphone qui aboutit sur un PC à l'autre bout du monde, et ça, c'est une révolution dans le petit monde de l'arnaque.

Bien entendu, une grande part du succès de ce type d'attaque repose sur sa nouveauté. Mais c'est ainsi que fonctionne l'Art de l'escroquerie. Et avec la téléphonie sur IP, c'est un nouveau monde qui s'offre aux pirates. Ils pourront, par exemple, plus facilement s'offrir une légitimité apparente afin de confirmer une fausse proposition commerciale ou renforcer la crédibilté d'une escroquerie sur le web.

Après tout, Kevin Mitnick, qui se servait plus volontiers d'un téléphone que d'un clavier, a déjà montré que le téléphone peut être une arme particulièrement efficace. Et c'était bien avant que la téléphonie et Internet ne convergent.