Dans la deuxième partie de notre article sur les stratégies d'attaque des cybercriminels, nous examinons en profondeur les méthodes les plus courantes utilisées par les cybercriminels pour accéder à des données ou à des fonds sensibles.
Demandes urgentes
Les hameçonneurs n'ont pas peur d'utiliser la psychologie à leur avantage. Ils savent que se faire passer pour une personne ou une organisation et l'inciter à agir immédiatement peut être incroyablement persuasif. Souvent, ces types d'attaques font planer la menace d'une perte, d'une punition ou d'un risque supplémentaire.
Les gens sont plus enclins à répondre aux tentatives d'hameçonnage si les courriels semblent pressants ou si la victime pense qu'elle a des problèmes. Les exemples les plus courants de ce type de falsification sont, entre autres, les messages de patrons en colère, les avis de crédit en retard, les adhésions annulées, les comptes compromis, les livraisons de colis manquées et les chèques de loyer manquants.
Les courriels de ce type peuvent également apparaître comme des demandes non sollicitées de confirmation d'informations de compte ou des demandes inattendues de réinitialisation de mot de passe, en utilisant parfois votre nom dans le corps du texte pour plus de validité. Le verbiage de ces messages est souvent sévère et tente de persuader les victimes d'ouvrir des pièces jointes ou de révéler des informations sensibles.
Lorsque vous recevez des courriels de ce type, il est conseillé de prendre contact avec l'expéditeur par un autre moyen que le courrier électronique. Pour les courriels provenant d'entreprises, vous devez appeler le numéro du service clientèle indiqué sur le site web officiel de l'organisation. Au cours de votre conversation, demandez si vous étiez censé recevoir le courriel initial.
Remboursements, paiements et concours inattendus
Il est difficile de résister à l'attrait de l'argent et des cadeaux gratuits, et les hameçonneurs le savent. Il n'est pas rare que des courriels d'hameçonnage appâtent les victimes en leur promettant des remboursements, des ajustements de comptes bancaires ou des remboursements d'impôts. Dans le cadre d'attaques de phishing plus larges, les spammeurs peuvent même prétendre que vous avez gagné ou que vous êtes éligible à un concours ou à un prix. Les courriels non sollicités de ce type sont généralement des signes avant-coureurs d'une tentative d'hameçonnage.
En 2017, des cybercriminels se faisant passer pour l'Agence du revenu du Canada ont envoyé des courriels de spam pendant la saison des impôts. Ces courriels promettaient des retours énormes (certains près de 1 000 $) et étaient conçus pour inciter les utilisateurs à cliquer sur un lien pour "transférer" les fonds via un service légitime - Interac. Les experts ont noté que les courriels étaient très convaincants et comprenaient des copies des logos de la Banque de Montréal et d'Interac.
Pour éviter d'être victime de ce type d'escroquerie, il convient de réfléchir avant de répondre. Si vous recevez un message relatif à un concours auquel vous ne vous êtes pas inscrit ou à des transferts d'argent qui vous semblent anormaux, il y a de fortes chances qu'il s'agisse d'un faux message.
Vishing
Le vishing est une forme d'hameçonnage qui utilise les systèmes téléphoniques et des technologies similaires. Les utilisateurs peuvent recevoir un courriel, un message téléphonique ou un texte (généralement appelé smishing) qui les incite à appeler un numéro de téléphone pour corriger une anomalie.
En général, les attaquants utilisent une technique appelée usurpation de l'identité de l'appelant pour faire croire que les appels proviennent d'un numéro de téléphone légitime. Si une victime appelle un numéro faisant l'objet d'une escroquerie par vishing, un enregistrement automatisé l'invite à fournir des informations détaillées, notamment des numéros de carte de crédit, des dates de naissance et des adresses.
Deux pirates informatiques roumains ont récemment été inculpés pour avoir escroqué 18 millions de dollars à leurs victimes dans le cadre d'une vaste opération de vishing et de smishing. Pour réaliser cette escroquerie, les pirates ont installé un logiciel de réponse vocale interactive (IVR) sur des ordinateurs distants. Ces ordinateurs ont ensuite lancé des milliers d'appels téléphoniques et de messages texte automatisés.
Les appels et les messages semblaient provenir d'une institution financière réputée et demandaient aux victimes d'appeler un numéro de téléphone en raison d'un problème de compte. Lorsque la victime appelait le numéro, le logiciel SVI l'invitait à saisir son numéro de compte bancaire, son code PIN et d'autres informations personnelles.
Pour éviter de tomber dans une escroquerie de type "vishing", ne cliquez jamais sur des liens dans un message texte et ne répondez jamais à des appels téléphoniques automatisés. À moins que vous ne soyez à l'origine de l'appel avec une source fiable (par exemple, en appelant un numéro de service clientèle connu ou en contactant une banque à l'aide du numéro indiqué sur son site web), vous ne devez jamais communiquer d'informations personnelles par téléphone. Si vous ne vous sentez pas à l'aise avec les questions que l'on vous pose au téléphone, dites-le. S'il s'agit d'une entreprise authentique, elle devrait être en mesure de vous proposer différentes méthodes pour la contacter, y compris un rendez-vous en personne dans un lieu d'affaires légitime.
Au cas où vous auriez manqué la première partie, continuez à lire notre article précédent sur les stratégies d'attaque supplémentaires des cybercriminels.
Besoin d'aide pour identifier les attaques de phishing ? Pour une vue d'ensemble de ses dangers et de ses caractéristiques, téléchargez GRATUITEMENT Phishing Attacks : Un guide de cybersécurité pour les employeurs et les particuliers !
