La cybercriminalité est en hausse depuis le début de la pandémie : : le 16 avril dernier, la Police a bloqué 46 000 domaines web sur le coronavirus, tous suspectés d’activités illicites. . Dans ce billet, nous verrons brièvement comment les escrocs du numérique profitent de l’occasion pour lancer des logiciels malveillants et des tentatives de phishing, et quelles mesures de sécurité il faut prendre.
Le confinement mis en place pour freiner la propagation de la COVID-19 semble avoir stimulé l’utilisation des nouvelles technologies, tant chez les particuliers que dans le milieu du travail. Un grand nombre de personnes ont en effet été contraintes de travailler à domicile du jour au lendemain.
Les cybercriminels ont profité de cette situation déconcertante pour lancer tous types de campagnes massives de phishing sur des sujets liés à la pandémie : fausses demandes de dons ou rumeurs diverses circulant sur les réseaux. À tel point que les données du Centre national de cryptologie ont constaté une augmentation de 75 % des cyberattaques visant des organisations et des citoyens pendant la période du confinement.
Qu’est-ce que le phishing et comment font-ils pour nous piéger ?
Les criminels utilisent la manipulation psychologique pour obtenir des informations sans être sous la contrainte. En d’autres termes, au lieu de pirater un compte, ils utilisent la curiosité, la peur ou la confiance pour tromper les personnes et les inciter à donner leur mot de passe ou leurs données.
C’est ce que l’on appelle aujourd’hui l’ingénierie sociale, le hameçonnage ou le phishing (de l’anglais fishing, pêcher). Les pirates informatiques se font passer pour une autre personne ou entité, souvent des expéditeurs connus, des organismes internationaux, des administrations publiques, etc., et lancent leur ligne – un email contenant un fichier induisant en erreur ou un message WhatsApp avec un lien vers une page frauduleuse – dans l’espoir qu’une victime mordra à l’hameçon.
De nos jours, il existe un nombre infini de campagnes dans ce genre. Outre les messages habituels concernant la livraison d’un colis inexistant ou ceux prétendant nous avertir de contraventions, nous assistons depuis quelques semaines à une multiplication des escroqueries liées au coronavirus, comme une prétendue collecte de fonds pour l’OMS ou l’organisation caritative Caritas, ou des applications malveillantes comme une carte qui permettrait de suivre prétendument l’évolution de la maladie.
Le modus operandi des différents cyber-escrocs est très similaire : ils créent de fausses annonces ou pages. Comme elles semblent authentiques et dignes de confiance, nous cliquons sur le lien et suivons leurs instructions. Leur intention ? Infecter Infecter notre dispositif avec un malware, nous demander des données telles que des identifiants bancaires ou codes personnels ou, plus généralement, réussir à nous faire virer une somme d’argent.
Exemples de rumeurs et fraudes qui utilisent la COVID-19 comme excuse
Les cybercriminels exploitent constamment l’actualité, notamment en sollicitant des dons pour la recherche d’un vaccin qui n’existe pas. De même, plusieurs escroqueries ont été déplorées sur WhatsApp, notamment de fausses offres d’abonnement gratuit à Netflix pendant le confinement ou de fausses distributions d’aide alimentaire organisées par un regroupement de supermarchés. Les autorités des États-Unis ont même détecté une tentative d’usurpation d’identité d’une agence gouvernementale ; elle visait à convaincre les utilisateurs qu’ils avaient reçu des bons alimentaires.
Cependant, les cyberattaques ne se cantonnent pas à la sphère individuelle. La police nationale a mis en garde contre une campagne de phishing visant le personnel soignant et profitant de la crise du coronavirus. L’attaque circule dans un courrier électronique accompagné d’une pièce jointe intitulée « CORONAVIRUS_COVID-19.vbs » qui télécharge le ransomware NetWalker, un virus qui crypte les données des victimes et exige une rançon pour leur redonner accès à leurs informations.
Alors que le télétravail bat son plein, une une campagne d’envoi de courriels usurpant l’identité de plusieurs entreprises a également été détectée. Elle surfe sur l’actualité et les changements occasionnés par la pandémie : par exemple, elle inclut le mot LICENCIEMENT ÉCONOMIQUE dans les messages malveillants pour attirer l’attention.
Un autre exemple est un envoi massif d’email usurpant l’identité de la sécurité sociale et de l’inspection du travail. Le message avertit l’employé que l’entreprise fait l’objet d’une enquête pour non-respect de l’état d’alerte et fournit un lien pour consulter la plainte émise, lien qui redirigera automatiquement vers un site web malveillant.
Dans le contexte actuel, il faut s’attendre à ce que les escroqueries liée à l’ingénierie sociale se multiplient. C’est le cas de la fraud des PDG. : le comptable de l’entreprise (ou un employé autorisé à effectuer des virements ou ayant accès aux données des comptes bancaires) reçoit un courriel censé provenir de son responsable et demandant de l’aide pour effectuer un virement urgent. Dans les cas les plus sophistiqués, les fraudeurs peuvent même espionner préalablement ces « gros bonnets ». Ils dérobent les identifiants du PDG, directeur ou président pour envoyer le message directement à partir de ce compte de courriel.
Comment éviter le phishing ?
Selon Agence national de la sécurité des systèmes d’information (ANSSI) aujourd’hui plus que jamais, nous devons surveiller les messages que nous recevons et les pages que nous visitons, surtout lorsqu’il nous est demandé de partager des données et de prendre des décisions rapidement.
N’oubliez jamais qu’en accédant simplement à une page, vous pouvez communiquer des informations personnelles telles que votre adresse électronique, votre géolocalisation ou le modèle de votre appareil, entre autres données sensibles.
Voici les principales recommandations pour éviter de tomber dans des escroqueries de ce type :
- prenez le temps nécessaire pour analyser la situation et ne partagez jamais des données confidentielles telles que des mots de passe ;
- n’ouvrez pas de liens et ne téléchargez pas non plus de pièces jointes sans examiner leur extension et faites-le uniquement si la source est sûre ;
- ne vous fiez pas à un message uniquement parce qu’il porte un logo connu et ne vous fiez pas uniquement au nom de l’expéditeur ; si des informations inhabituelles vous sont demandées (même d’un contact connu), vous devez procéder à une vérification ;
- vérifiez l’adresse URL à laquelle on vous invite à accéder. Est-elle correcte ? (Vous pouvez utiliser le service gratuit de de VirusTotal pour analyser la page).
- tenez à jour le système d’exploitation, le navigateur et les applications ;
- installez, configurez et tenez à jour les filtres antispam et un bon antivirus ;
- désactivez l’affichage des e-mails au format HTML dans les comptes essentiels ;
- méfiez-vous des messages présentant des fautes de grammaire ou d’orthographe et de ceux qui menacent de vous couper un service si vous ne mettez pas vos données à jour ;
- méfiez-vous des promotions et des prix (notamment de ceux qui sont « trop beaux pour être vrais ») qui vous parviennent à travers des services de messagerie et non par des canaux officiels ; vérifiez sur les sites officiels des entreprises l’existence d’une telle campagne ;
- faites une recherche sur internet pour vérifier si d’autres personnes ont communiqué des plaintes ou des alertes au sujet de ce message.
Voici quelques mesures pour remédier à une éventuelle infiltration par phishing :
- établir des procédures sécurisées pour effectuer les paiements, de manière à impliquer plus d’une personne, par exemple à travers une double vérification ;
- mettre en marche des processus de surveillance de marque pour contrôler que nul n’usurpera notre identité à des fins illicites, ce qui pourrait entacher définitivement notre image. Ubilibet offre par exemple un service de protection de marque complet qui nous avertira de toute tentative par un tiers d’enregistrer notre nom de domaine sous une autre extension ;
- contrôler régulièrement les mouvements des comptes en banque.