Qu'est-ce que le clickjacking ?

Peu d'applications sont aussi sécurisées que les logiciels bancaires sur les appareils mobiles, mais ces applications peuvent tout de même fournir aux cybercriminels vos informations les plus précieuses et les plus sensibles, telles que les identifiants de connexion et les informations de contact.

Le clickjacking rend le vol de renseignements personnels sensibles aussi rapide et facile que de se connecter à une application. Les programmes malveillants tels que Svpeng démontrent l'efficacité (et la prévalence) de ce type de crime.

Le clickjacking permet à un pirate d'insérer une couche d'interface utilisateur invisible entre votre doigt et ce que vous voyez sur l'écran de votre appareil.

Vous pensez sûrement que c'est l'écran de la banque qui s'affiche après avoir entré votre identifiant et votre mot de passe, mais ce que vous voyez vraiment, c'est une réplique du même écran superposé aux véritables informations de la banque.

Lorsque vous saisissez vos informations privées, les données ne sont pas transmises à la banque pour la vérification, mais se dirigent vers les serveurs de fichiers que les cybercriminels gèrent afin de voler des données d'accès.

Le clickjacking pour rechercher du profit

En juillet 2017, Roman Unuchek, Senior Malware Analyst de Kaspersky Lab, a signalé sur le blog SecureList que le malware Svpeng se propageait à vitesse folle. Svpeng est apparu pour la toute première fois en 2013. Son objectif était de voler des informations bancaires depuis les appareils Android des utilisateurs. Une fois téléchargé sur un appareil mobile, il détournait les données des utilisateurs, mais le problème est beaucoup plus profond que cela.

Lorsque le programme malveillant obtient l'accès aux privilèges d'administrateur, il peut choisir quel écran de recouvrement utiliser, envoyer et recevoir des SMS, passer des appels téléphoniques et lire les contacts.

Le programme malveillant envoie ensuite les captures d'écran et tout autre matériel piraté depuis l'appareil vers un serveur de commande et de contrôle géré par les pirates. Cela peut toucher les contacts, les applications installées, les journaux d'appels et les SMS. C'est particulièrement problématique, car les banques ont l'habitude d'envoyer des codes de vérification aux utilisateurs via des SMS.

Selon Roman Unuchek, Svpeng s'est répandu dans 23 pays en une seule semaine.

Le clickjacking se produit sur presque chaque plate-forme

Même si les téléphones Android semblent particulièrement vulnérables au clickjacking, il peut se produire sur n'importe quelle machine ayant accès à Internet : les appareils mobiles, les tablettes, les ordinateurs de bureau et les ordinateurs portables.

Mi-2016, Google a retiré les annonces contenant des couches transparentes qui ont poussé des millions d'utilisateurs à cliquer sur des liens qui les ont conduits vers des sites Web non sollicités. Dans de nombreux cas, ces sites Web contenaient des malware, adware, et même des spyware qui étaient installés et téléchargés, parfois à l'insu de l'utilisateur.

Des sociétés sans scrupules peuvent utiliser des pages détournées pour déclencher des commandes en un seul clic depuis Amazon. Sur les plates-formes de réseaux sociaux comme Facebook, ils créent des mentions « J'aime » artificielles sur les publications (appelées « likejacking »), ou recrutent des followers involontaires sur Twitter. Les clickjackers téléchargent également des programmes malveillants qui obligent les utilisateurs à cliquer frauduleusement sur des annonces invisibles, selon MarketingLand.com.

Comment se défendre contre le clickjacking

Les emails ciblés sont l'une des façons les plus courantes pour qu'un logiciel de clickjacking s'infiltre dans un appareil. Malheureusement, dans un monde où les pirates ont volé les coordonnées de milliards de comptes clients, acheter ces informations ne coûte que quelques centimes aux cybercriminels. La probabilité que des cybercriminels disposent au moins de votre compte de messagerie, ainsi que de l'institution bancaire qui y est associée, est élevée.

Faites attention aux emails qui arrivent dans votre boîte de réception et qui prétendant aborder un sujet urgent nécessitant votre attention. Ces emails vous demandent de cliquer sur un lien, et ce lien pourrait vous mener à un site Web qui ressemble à s'y méprendre à celui de votre banque ou à un autre site Web officiel pour vous pousser à télécharger la dernière version de l'application de l'institution ou à remplir les informations de votre profil.

Si l'objectif est de vous amener à télécharger une application, il s'agit probablement d'un programme malveillant qui capture et vole toutes vos informations d'identification. Dans d'autres cas, le site Web lui-même pourrait être à l'origine du programme malveillant qui s'infiltre dans votre appareil. Peu importe comment, le programme malveillant présente de fausses couches d'entrée à remplir.

Il est également important d'éviter de cliquer sur des annonces sur Google ou Facebook qui proposent des offres trop belles pour être vraies ou qui diffusent des actualités ou des histoires qui semblent extraordinaires. Dans certains cas, le fait de cliquer sur ces éléments pourrait vous mener à un site Web qui télécharge des logiciels de clickjacking sur votre ordinateur. Recherchez plutôt les actualités sur un autre canal, comme sur un bon vieux journal papier. Si cette actualité est vraie, il ne sera pas difficile de trouver d'autres articles valides.

Téléchargez toujours les applications sur les appareils via des bibliothèques d'application autorisées. Des agents logiciels et des êtres humains travaillent de concert sur ces bibliothèques pour éliminer les logiciels malveillants et ne conserver que le contenu approprié. Il n'est pas toujours facile de repérer les interfaces factices ou invisibles, mais faire preuve d'une bonne dose de scepticisme lorsque vous manipulez tout ce qui a trait à Internet peut grandement contribuer à une bonne expérience utilisateur.

Articles connexes :

• Qu'est-ce qu'un adware?
• Qu'est-ce qu'un cheval de Troie?
• Faits et FAQ sur les virus informatiques et les programmes malveillants
• Courriers indésirables et phishing

Produits associés :

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android