Hameçonnage et autres arnaques
Il suffit de jeter un coup d’œil aux spams de notre boîte mail pour mesurer à quel point on cherche à nous arnaquer. Ces tentatives, qui hélas réussissent parfois, reposent sur des techniques qui ne sont d’ailleurs pas propres au numérique. Le but est toujours de soutirer de façon frauduleuse des informations (données de l’entreprise, coordonnées bancaires…).
On les regroupe sous la locution d’ingénierie sociale (social engineering).
L’hameçonnage
L’hameçonnage, ou phishing, est la technique numéro 1. Elle consiste à se faire passer pour un organisme ou une personne digne de confiance et à demander à une proie potentielle de réaliser une action.
La voie la plus habituelle est le courriel mais elle peut passer par le SMS (smishing) ou le téléphone (vishing).
Un hameçonnage classique par courriel incite à cliquer sur un lien. Celui-ci peut être une image, en principe bloquée par votre fournisseur d’adresse e-mail mais des « trous dans la raquette » sont toujours possibles. Ci-dessous, un palmares des fournisseurs d’e-mails sécurisés.
https://kinsta.com/fr/blog/fournisseurs-demail-securises/
Si vous cliquez sur de tels liens, vous téléchargez probablement un malware aux desseins sournois : utiliser les capacités de calcul de votre ordinateur à votre insu, récupérer des informations, etc.
Même si la ficelle est un peu grosse, l’hameçonnage peut aussi être un moyen d’obtenir vos coordonnées bancaires ou de vous demander de réinitialiser un mot de passe.
Voici un exemple de smishing. Le SMS reçu est le suivant :
Il n’y a pas à proprement parler d'usurpation d’identité mais le nom de site cliquable peut laisser croire que l’émetteur est un organisme officiel. Notez le message qui invite à répondre rapidement. C’est là aussi une technique bien connue depuis toujours (du type « je veux bien vous acheter ce terrain mais à tel prix et sous réserve de votre réponse dans les 24 heures »). De même, un escroc qui cherche à arnaquer par téléphone est toujours pressé !
Bref, cliquons. Et là, le site apparaît :
Euh, il n’y a pas vraiment de site... Pourquoi une demande urgente nous dirige-t-elle vers un site obsolète ? Curieux… En revanche, il s’y trouve un lien potentiellement dangereux. Si l’on choisit de continuer, on ne peut pas savoir ce qui va se passer (nous n’avons pas essayé !).
L’hameçonnage fonctionne souvent avec un appât (« cliquez pour obtenir votre cadeau »).
Notez que si un site web vous propose de cliquer sur une URL fiable, vous n’êtes pas forcément dirigé où vous pensez ! Voir la page qui traite des liens sortants. En cas de doute, vérifiez le code source avec un clic droit.
Le harponnage
Le harponnage (spear fishing) est un hameçonnage sélectif. Lui aussi peut utiliser plusieurs canaux. C’est par exemple un appel téléphonique (en numéro masqué) où un interlocuteur se présente comme agent d’un organisme officiel et qui vous demande des informations que votre organisation ne devrait pas divulguer.
L’émetteur de l’appel peut aussi se faire passer pour un informaticien de l’entreprise ou un consultant (d’où là encore le numéro masqué) qui demande à un salarié de faire quelques manipulations pour protéger son ordinateur. En fait, il guide pas à pas le téléchargement d’un malware.
Lorsque la cible est un dirigeant, on parle de whaling.
Le SIM swapping
Le SIM swapping ou SIM swap est le contrôle malveillant d'une ligne téléphonique mobile.
Le plus souvent, la victime est hameçonnée sur son mobile par un message imitant son opérateur. Elle est dirigée sur un site qui aspire les données de sa carte SIM pour en générer une autre. La victime reçoit donc un code de sécurité par SMS mais, se faisant passer pour l'opérateur, le pirate l'appelle aussitôt pour qu'elle lui donne le code reçu. Ainsi, le cybercriminel peut faire tout ce qu'il est possible de réaliser avec un téléphone : usurper une identité, réinitialiser des mots de passe... Associée au piratage de l'accès à un compte bancaire, cette technique est redoutable puisque le hacker a la main sur la double identification. La première est permise par le changement du mot de passe de l'adresse mail et la seconde par l'interception du SMS de confirmation.
Le pirate peut aussi obtenir une carte SIM par usurpation d'identité auprès de l'opérateur téléphonique. Les opérateurs sont toutefois vigilants et ce moyen est aujourd'hui moins utilisé que le précédent ; mais ils sont aussi visés par d'autres techniques.
L’arnaque au président
L’arnaque au président doit être la hantise des comptables ! C’est un harponnage mais l’escroc se fait passer pour un dirigeant de l’entreprise.
Cette technique peut être très élaborée compte tenu des sommes pouvant être extorquées. Supposons qu’un cybercriminel a réussi à introduire dans le système d’une entreprise un malware qui lui donne accès à l’agenda d'un haut dirigeant. Il sait donc à quel moment celui-ci est injoignable. Au moment propice, il envoie un mail au comptable lui demandant de procéder de toute urgence à un virement bancaire, appuyant sa requête par un appel téléphonique où il se fait passer pour le dirigeant.
Les réseaux sociaux
L’usurpation d’identité sur les réseaux sociaux touche les organisations mais surtout les particuliers. Elle peut prendre la forme d’un chantage affectif, d’une demande d’un influenceur à ses followers, du besoin d’argent urgent d’un ami qui aurait perdu son portefeuille…
Ce type d’arnaque s’appuie sur une relation qui dure depuis déjà un moment.
Mais l’usurpation d’identité n’est pas la seule technique. Une chaîne peut aussi fournir des informations à un spammer : si l’une de vos connaissances vous envoie en toute bonne foi une magnifique citation d’amour universel à retransmettre à tous vos contacts, abstenez-vous. Il n’y a pas forcément de malware dedans mais qui sait ?
Attention aussi aux fausses enquêtes. Vous risquez de vous abonner sans le savoir à un service qui vous sera facturé chaque mois avec votre abonnement téléphonique.
Les techniques manipulatoires
Comment des messages peuvent-ils nous convaincre à commettre des actions que nous n’aurions pas spontanément réalisées ? Nous vous invitons à lire la page sur les techniques de manipulation. Certaines d’entre elles se trouvent très souvent dans les messages d’hameçonnage.
