Escroqueries par phishing

Récemment, une de mes connaissances, Frank, a reçu un e-mail en fin d’après-midi un lundi avec pour objet : « Êtes-vous toujours au bureau ? Cela semble provenir de son manager, qui affirmait être coincé dans une longue réunion sans les moyens d’acheter en urgence des chèques cadeaux en ligne pour les clients. Il a demandé de l’aide et partagé un lien vers une plateforme en ligne sur laquelle Frank a acheté des chèques-cadeaux d’une valeur de 6 000 rands (environ 325 dollars américains). Une fois les codes envoyés, il a reçu un deuxième e-mail du « patron » lui demandant un bon supplémentaire.

À ce moment-là, Frank a contacté son patron via WhatsApp et a découvert qu’il avait été trompé. Frank était devenu la proie d’une escroquerie par phishing.

Ce n’est qu’un exemple parmi tant d’autres provenant de mes propres cercles. D’autres amis et parents – dont certains sont des internautes chevronnés et conscients de l’importance de la cybersécurité – ont également été la proie d’escroqueries par phishing.

Je suis un professionnel de la cybersécurité qui mène des recherches sur et enseigne divers sujets liés à la cybersécurité. Ces dernières années, j’ai remarqué (et confirmé par des recherches) que certaines organisations et individus semblent fatigués par les efforts de sensibilisation à la cybersécurité. Est-il possible qu’ils supposent que la plupart des gens sont technologiquement avisés et constamment bien informés ? Ou simplement une lassitude s’est-elle installée en raison du caractère exigeant des campagnes de sensibilisation à la cybersécurité ? Même si je n’ai pas de réponse définitive, je soupçonne cette dernière solution.

La réalité est que les escroqueries par phishing sont là pour rester et que les méthodes utilisées pour leur exécution continuent d’évoluer. Compte tenu de mon expertise et de mon expérience, j’aimerais vous proposer sept conseils pour vous aider à vous protéger contre les escroqueries par phishing. Ceci est particulièrement important pendant la période des fêtes, car les gens achètent des cadeaux et réservent leurs vacances en ligne. Ces activités créent davantage d’opportunités pour les cybercriminels de faire de nouvelles victimes. Cependant, ces conseils sont appropriés tout au long de l’année. Les cybercriminels ne prennent pas de pause. Vous ne devriez donc jamais baisser la garde.

Qu’est-ce que le phishing ?

Le « phishing » est une stratégie conçue pour inciter les gens à révéler des informations sensibles telles que les détails de leur carte de crédit, leurs identifiants de connexion et, dans certains cas, leurs numéros d’identification.

La forme de phishing la plus courante est celle par courrier électronique : les phishers envoient des courriers électroniques frauduleux qui semblent provenir de sources légitimes. Les messages contiennent souvent des liens vers de faux sites Web conçus pour voler des identifiants de connexion ou d’autres informations sensibles. Le même e-mail sera envoyé à plusieurs adresses. Les phishers peuvent obtenir des e-mails à partir d’endroits tels que des sites Web d’entreprise, des violations de données existantes, des plateformes de réseaux sociaux, des cartes de visite ou d’autres documents d’entreprise accessibles au public.

Les cybercriminels savent qu’en élargissant leur réseau, ils en attraperont sûrement.

Le phishing vocal (vishing) est une autre forme de cette arnaque. Ici, les auteurs utilisent la communication vocale, comme un appel téléphonique au cours duquel l’appelant prétend faussement être un responsable de la banque et cherche à vous aider à réinitialiser votre mot de passe ou à mettre à jour les détails de votre compte. D’autres escroqueries courantes par vishing consistent à offrir des réductions ou des récompenses si vous rejoignez un club de vacances, à condition que vous divulguiez les informations de votre carte de crédit personnelle.

Le phishing sur les réseaux sociaux, quant à lui, se produit lorsque des fraudeurs créent de faux comptes prétendant être de vraies personnes (par exemple, en se faisant passer pour le patron de Frank). Ils commencent alors à interagir avec les relations de la personne réelle pour la tromper et lui faire divulguer des informations sensibles ou lui accorder des faveurs financières.

Les cybercriminels ont également recours au phishing par SMS (smishing), en utilisant des messages texte pour cibler des individus afin de révéler des informations sensibles telles que des identifiants de connexion ou des détails de carte de crédit en cliquant sur des liens malveillants ou en téléchargeant des pièces jointes nuisibles.

Qui est derrière ces arnaques ? Il s’agit généralement d’escrocs chevronnés et rusés qui ont perfectionné leurs compétences dans le monde du phishing sur une longue période. Certains travaillent seuls ; d’autres appartiennent à des syndicats.

Compétences en matière de phishing

Les phishers qui réussissent possèdent diverses compétences. Ils allient tactique psychologique et prouesse technique.

Ce sont des maîtres manipulateurs, jouant sur les émotions des victimes. Les individus sont trompés en leur faisant croire qu’ils ont obtenu une somme substantielle, souvent des millions, grâce à un jackpot. Ce système prétend faussement que leur numéro de téléphone portable ou leur adresse e-mail a été utilisé pour entrer. Par conséquent, la victime ne demande pas d’éclaircissements. Enthousiasmés à l’idée d’obtenir rapidement l’aubaine, ils transmettent leurs informations personnelles aux cybercriminels.

Ces escrocs adaptent même leur approche pour correspondre aux convictions personnelles des individus. Par exemple, si vous avez une affinité pour le culte des ancêtres, préparez-vous à recevoir un message d’une personne prétendant être un médium, affirmant que votre arrière-arrière-grand-père demande un rituel monétaire impliquant un dépôt sur un compte particulier et promettant la multiplication de votre argent. fonds – même si vos ancêtres ne vous ont pas communiqué de telles informations.

De même, si vous êtes un fervent chrétien, quelqu’un prétendant être le « Prophète Profit » pourrait tenter de vous contacter via une plateforme de messagerie, suggérant qu’une offre monétaire à son ministère résoudra miraculeusement tous vos problèmes financiers. C’est tout simplement trop beau pour être vrai.

Sept conseils

Alors, comment pouvez-vous éviter les escroqueries par e-mail phishing ? Voici mes conseils.

1. Avant de répondre à un e-mail qui semble provenir d’un collègue ou d’un ami de confiance (surtout s’il s’agit d’une demande inhabituelle), vérifiez si la communication est authentique. Contactez-les directement par téléphone.

2. Si vous recevez des e-mails suspects au travail et que vous ne savez pas quoi faire, signalez-les rapidement à votre service informatique.

3. Faites preuve de prudence lorsque vous divulguez vos informations de contact, telles que vos adresses e-mail et vos numéros de téléphone, sur des plateformes publiques. Des individus malveillants peuvent exploiter ces informations à des fins nuisibles.

4. Soyez vigilant lorsque vous répondez à des e-mails ou à des messages non sollicités demandant des informations personnelles ou une action immédiate.

5. Validez l’adresse e-mail de l’expéditeur. En cas de doute, utilisez les coordonnées officielles du site Web officiel d’une organisation pour nous contacter au lieu de répondre au message.

6. Ne cliquez pas sur des liens douteux. Vérifiez toujours l’URL avant de saisir des données sensibles.

7. Gardez vos appareils ainsi que vos logiciels anti-spam et anti-malware à jour. Utilisez des mots de passe forts et uniques ou une authentification multifacteur.

Thembekile Olivia Mayayise

Maître de conférences, Université du Witwatersrand