Le phishing, ou hameçonnage en bon français, a longtemps été considéré comme la principale menace en matière de cybersécurité. Cependant, une nouvelle forme d'attaque, baptisée « mishing », émerge et cible spécifiquement les appareils mobiles.

Le « mishing », un terme inventé par la société de sécurité Zimperium, englobe diverses techniques d'hameçonnage adaptées aux smartphones et tablettes. Selon un récent rapport de Zimperium, cette menace gagne en importance à mesure que les organisations dépendent de plus en plus des appareils mobiles pour leurs opérations quotidiennes. Les cybercriminels ont pris note de cette tendance et adaptent leurs stratégies en conséquence, développant des attaques spécifiquement conçues pour contourner les mesures de sécurité traditionnelles pensées pour les ordinateurs de bureau.

Le mishing se décline sous plusieurs formes, dont le « smishing » (hameçonnage par SMS), le « quishing » (via des codes QR), le “vishing” (par appels vocaux), ou encore des attaques basées sur les réseaux Wi-Fi. Cette diversité de vecteurs d'attaque rend le mishing particulièrement dangereux, car il exploite les comportements spécifiques des utilisateurs sur mobile.

Une menace en pleine expansion

Les chiffres présentés par Zimperium sont alarmants. Le smishing s'impose comme le vecteur de phishing mobile le plus répandu, représentant 37 % des attaques en Inde, 16 % aux États-Unis et 9 % au Brésil. Le quishing, bien que plus récent, gagne du terrain, notamment au Japon (17 %), aux États-Unis (15 %) et en Inde (11 %). Plus inquiétant encore, 3 % des sites de phishing utilisent désormais des techniques de redirection spécifiques aux appareils mobiles, affichant un contenu inoffensif sur les ordinateurs tout en ciblant les smartphones avec des charges malveillantes.

Face à cette menace croissante, les experts de Zimperium, dont Nico Chiaraviglio, Chief Scientist de l'entreprise, soulignent l'urgence pour les organisations d'adopter des mesures de sécurité spécifiquement conçues pour les appareils mobiles. Ils insistent sur le fait que le mishing n'est pas une simple évolution du phishing traditionnel, mais bien une nouvelle catégorie d'attaques exploitant les particularités des smartphones, comme leur caméra ou leur interface tactile.

Pour se protéger, il est crucial de redoubler de vigilance lors de l'utilisation d'appareils mobiles. Vérifier l'origine des messages, être prudent avec les liens et les pièces jointes, et ne pas céder à l'urgence créée artificiellement par les attaquants sont des pratiques essentielles. Les entreprises, quant à elles, doivent investir dans des solutions de sécurité mobile avancées et former leurs employés aux risques spécifiques du mishing. Alors que le pic d'activité du mishing a été observé en août 2024 avec plus de 1000 attaques quotidiennes, la menace ne semble pas prête de s'estomper, rendant la sensibilisation et la protection plus importantes que jamais.