Un malheur arrive rarement seul – les phishers sont partout
Mieux vaut prévenir que guérir – cela s’applique aussi bien en ligne que hors ligne. Une mésaventure est vite arrivée. C’est le cas d’Alex, qui voulait profiter d’une bonne affaire limitée dans le temps sur le net, de Theo, qui a envoyé la semaine dernière un e-mail à la prétendue équipe HR de son employeur, ou encore de Nina, qui s’énerve à cause d’une app apparemment défectueuse qui devait la conduire à une galerie d’images. Laura, assise avec les autres à une table et qui s’était réjouie le week-end dernier d’avoir gagné un iPhone, se plaint à voix haute, en buvant son café, du temps d’attente et de la somme qu’elle a dû «payer en plus» pour recevoir son lot. Mais qu’ont en commun Alex, Théo, Nina et Laura? Ils ont tous été victimes d’attaques de phishing sans avoir la moindre idée.
Comment est-ce possible? N’auraient-ils pas dû avoir des soupçons? Le travail d’information concernant la cybercriminalité n’est-il pas déjà suffisant? La réponse est rapide et peu optimiste: malheureusement non. C’est le constat que fait Norberto Ferreira. En tant que Team Lead Security Operations chez Sunrise, il estime qu’une ou deux journées annuelles de sensibilisation à la cybersécurité sont nécessaires et pertinentes dans une entreprise.
Phishing / Smishing
Phishing: le terme phishing est une combinaison des mots anglais «password» (mot de passe), «harvesting» (récolter) et «fishing» (pêcher). Le phishing désigne le processus consistant à se procurer des données sensibles auprès d’utilisateurs Internet. À l’aide d’informations détournées telles que les données de connexion, les numéros de cartes de crédit et les mots de passe, les fraudeurs tentent de retirer de l’argent des comptes de ces utilisateurs ou d’effectuer des achats en ligne ou hors ligne.
Smishing: le terme smishing, composé des mots «SMS» et «phishing», est une forme spéciale de phishing. Au lieu d’un e-mail, le smishing consiste à envoyer un message SMS destiné, par exemple, à inciter le destinataire à ouvrir un lien dangereux.
Une journée dans la vie de Norberto Ferreira – les jours se suivent mais ne se ressemblent pas
Chez Sunrise, Norberto Ferreira est la personne qui connaît le mieux les dangers d’Internet. Il travaille pour l’entreprise depuis environ 17 ans et met tout son cœur à l’ouvrage. Il n’y a pas de journée de travail type pour lui, car dans le Security Management, il n’y a pas deux jours identiques. D’ailleurs, son équipe et lui sont toujours confrontés à de nouveaux défis.
Les tâches principales de l’équipe de Norberto Ferreira incluent entre autres l’autorisation des téléchargements internes, la sécurité Internet des clients et la communication avec les clients concernant la sécurité en ligne. Venons-en maintenant aux pièges de phishing dans lesquels Nina, Alex et d’autres sont tombés.
Piège de phishing 1: smishing avec des logiciels malveillants
SMS d’un membre de la famille ou vulgaire arnaque?
Le SMS d’un prétendu membre de la famille peut s’avérer frauduleux et constitue alors un risque pour la sécurité. De nombreux utilisateurs ne le savent pas. Ferreira cite l’exemple du logiciel malveillant Flubot, diffusé par SMS, qui a provoqué des problèmes en Suisse, notamment en juin dernier.
Dans des messages contenant un lien vers une app, les utilisateurs de téléphones portables étaient avertis de «messages vocaux» non lus ou de «livraisons de colis manquées». Il s’agissait toutefois d’une app de suivi qui a permis de voler des mots de passe et des données sensibles. Comble de sournoiserie, une fois le logiciel malveillant installé sur le téléphone, il pouvait non seulement accéder aux données des contacts, mais aussi leur envoyer des messages à l’insu de l’utilisateur-trice du téléphone infecté. Plusieurs milliers d’utilisateurs de téléphones portables ont été victimes de cette arnaque, le nombre de cas non recensés étant probablement bien plus élevé.
On n’a désormais aucun mal à imaginer que la présumée galerie d’images à laquelle Nina voulait accéder via une app peut en fait causer de sérieux problèmes. Dans ce cas précis, le téléchargement de l’app s’est avéré être une tentative de phishing, à travers laquelle des fraudeurs ont obtenu ses données et les ont utilisées pour accéder à son compte bancaire.
Heureusement, Sunrise a identifié ce risque. C’est là qu’intervient le nouveau filtre SMS de Sunrise.
Grâce au filtre SMS, une vague de phishing se produisant à l’étranger peut être détectée et bloquée en amont: l’URL est bloquée et le SMS n’arrive plus en Suisse. Avec ce filtre, Nina n’aurait pas reçu de lien de téléchargement vers l’app malveillante ni aucun SMS. Même si le SMS avait été envoyé depuis la Suisse, elle aurait été à l’abri d’une telle fraude grâce au filtre SMS de Sunrise.
Call Filter
Sunrise propose, en plus du filtre SMS pour la protection contre les attaques de phishing, de virus, de ransomware, de hacking et de botnet, un filtre d’appel qui bloque automatiquement les appels abusifs sur le réseau mobile et fixe depuis le 1er juillet 2021 et qui est gratuit pour tous les clients Sunrise. Vous trouverez plus d’informations sur le filtre d’appels ici.
Piège de phishing 2: phishing aléatoire et fortuit
E-mail de l’employeur ou tentative de phishing au petit bonheur la chance?
Les cyberattaques sont de plus en plus sophistiquées et les attaques ciblées sont de plus en plus fréquentes. Cependant, même les cybercriminels qui agissent au hasard ne repartent pas nécessairement bredouilles.
Certains e-mails de phishing sont envoyés de manière aléatoire à des milliers de victimes potentielles. Les cybercriminels misent alors sur la crédulité ou l’inattention de leurs victimes. Les phishers ont cependant améliorer la crédibilité de leurs arnaques et ne se trahissent plus nécessairement par des fautes d’orthographe, de frappe ou des adresses e-mail qui semblent peu fiables au premier coup d’œil. C’est pourquoi des précautions particulières s’imposent.
Si un tel e-mail parvient par hasard à un destinataire à un moment opportun, celui-ci sera plus enclin à divulguer ses données personnelles. C’est d’ailleurs ce qui s’est passé pour Théo: lorsqu’il reçoit un e-mail de la part de l’équipe HR, il ne se pose pas de questions. Après tout, il vient de déménager et, dans ces circonstances, devoir communiquer ses données personnelles dans un formulaire en ligne auquel il accède via un lien contenu dans l’e-mail ne lui semble pas suspect. Lorsqu’il ne reçoit finalement pas de salaire à la fin du mois, il se pose des questions et contacte l’équipe HR de son employeur. Mais ceux-ci n’en savent rien. Il semble qu’il soit tombé dans un piège.
Piège de phishing 3: chasse aux bonnes affaires douteuse
Affaire du siècle ou tentative de tromperie?
Chaque jour, des dizaines de personnes sont victimes d’une escroquerie aux petites annonces. Amateurs de bonnes affaires, soyez prévenus: si une offre sur Internet semble trop belle pour être vraie, c’est probablement qu’elle est effectivement trop belle pour être vraie.
Une offre limitée dans le temps rend les acheteurs plus enclins à effectuer un achat risqué sur un coup de tête. Les conséquences sont douloureuses: au lieu d’un casque sympa à un prix «de folie», Alex se voit prélever CHF 300.– sur son compte. Cependant, il retient la leçon: à l’avenir, il fera plus attention.
Piège de phishing 4: phishing ciblé avec un timing parfait
Victoire exceptionnelle à un concours ou escroquerie grossière?
La joie d’avoir gagné un concours peut durer longtemps, ou pas. Ce n’est pas un nouvel iPhone qui attendait Laura, mais une invitation à verser un franc pour recevoir son gain.
Selon Norberto Ferreira, ce type de fraude a connu un essor il y a deux à trois ans. Habituellement, dans un tel cas, les criminels se présentent comme une entreprise qui organise un concours. Ils créent parfois aussi de faux profils sur les réseaux sociaux et misent ainsi sur la négligence des participants au concours. Il n’est pas rare que les prétendus gagnants finissent par se manifester auprès de l’entreprise dont le nom a été utilisé par les criminels qui ont lancé le concours, et ce n’est qu’à ce moment-là qu’ils réalisent qu’ils ont été victimes d’une escroquerie.
En règle générale, le franc versé est alors perdu. Mais les dégâts sont bien entendu bien plus importants: la plupart du temps, les données de la carte de crédit sont volées par ce biais. Comme si cela ne suffisait pas, la participation à un concours entraîne souvent la souscription automatique d’un abonnement à des services de SMS non sollicités.
CONSEIL: si vous êtes victime d’une telle fraude, adressez-vous à l’établissement financier qui a effectué la transaction pour obtenir de l’aide.
Autres conseils contre le phishing: https://community.sunrise.ch/blog/24594-7-conseils-contre-les-attaques-de-phishing
Généralités sur le phishing, le vishing et le smishing: https://www.ncsc.admin.ch/ncsc/fr/home/cyberbedrohungen/phishing.html
Incidents actuels: https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-vorfaelle.html