Escroqueries par phishing courantes et comment les reconnaître et les éviter
Le phishing est un moyen utilisé par les voleurs d'identité, les escrocs et les fraudeurs pour voler des informations. Ils le font en recourant à l’ingénierie sociale ou à la tromperie. Le but est de vous inciter à divulguer des informations confidentielles ou personnelles qui peuvent ensuite être utilisées à des fins frauduleuses, comme le vol d'identité.
Ils ont besoin d’obtenir suffisamment d’informations pour usurper votre identité ou même vous remplacer, dans le monde virtuel d’Internet ou dans une banque moderne. Ces informations peuvent être aussi basiques que votre nom légal complet, votre numéro de sécurité sociale et votre adresse personnelle. Il peut également être aussi détaillé que les numéros de compte bancaire, les identifiants de connexion aux services bancaires en ligne, le nom de jeune fille de votre mère et peut même inclure les questions et réponses secrètes de vos comptes bancaires en ligne ou PayPal.
Contenu [ cacher ]
- Les différents types de Phishing
- Quelles sont les tactiques les plus courantes pour les attaques de phishing ?
- Comment éviter de devenir accro
- Où signaler les e-mails de phishing
- Réparer les dégâts après avoir été accroché
- Statistiques
- Résumé
Les différents types de Phishing
Il existe plusieurs types de phishing qui ciblent différents groupes. Le type de phishing le plus courant est un simple e-mail prétendant provenir d’une personne qui a vraisemblablement besoin d’informations de votre part afin d’accomplir quelque chose qui vous est bénéfique. Il y a des réclamations concernant des fonds qui doivent être transférés sur votre compte bancaire, des amendes qui doivent être payées pour vous éviter de prison, des demandes de documents fiscaux et financiers ou à peu près tout ce qui vous amènerait à envoyer l'attaquant quel qu'il soit. Demander. Outre les attaques générales, voici quelques variantes plus ciblées des attaques de phishing.
Hameçonnage
Hameçonnage est une forme ciblée de phishing. Lors d’une attaque de spear phishing, l’attaquant dispose de certaines informations sur vous avant de vous envoyer quoi que ce soit. Ils surveillent votre présence sur les réseaux sociaux pour voir si vous publiez quelque chose sur vos achats récents. Ils surveillent toute mention de détaillants en ligne chez lesquels vous avez fait des achats, de produits achetés en ligne ou même de sites de rencontres.
Si vous tweetez que vous venez d'acheter la dernière iWatch de Best Buy, ils ont un appât pour leur piège. Parce qu’ils surveillent déjà votre présence sur les réseaux sociaux, ils en savent un peu plus sur vous, comme votre nom et probablement la ville dans laquelle vous vivez pour commencer.
Ils peuvent ensuite utiliser leurs connaissances de vous pour rédiger un e-mail prétendant provenir de Best Buy. Cet e-mail peut prétendre qu'il y a eu un problème avec votre carte de crédit lors de votre récent achat et que vous devez remplir leur formulaire en ligne pour vérifier les informations de votre carte. Ou bien, ils pourraient prétendre être un de vos amis et vouloir savoir si vous avez installé cette application vraiment cool pour votre nouvelle iWatch. Sinon, ils disposent d’un simple formulaire d’inscription que vous pouvez remplir pour obtenir l’application. Ils pourraient même prétendre être quelqu’un du site de rencontre, affirmant que votre profil doit être complété avant que vous puissiez obtenir d’autres vues.
Les possibilités sont ici pratiquement infinies et peuvent, comme nous l'avons signalé plus tôt cette année, inclure le chantage .
Whaling, ou phishing du PDG
Puisque l’objectif du phishing est d’obtenir un accès non autorisé à l’information, pourquoi ne pas hameçonner ceux qui détiennent le plus grand nombre d’informations. Les attaquants qui ciblent les cadres supérieurs des entreprises le font pour accéder au compte de messagerie d'une personne en position d'autorité. Avec un accès complet à ce compte, ils peuvent accéder aux informations de n’importe quel employé, lancer des virements électroniques frauduleux ou faire des ravages dans presque tous les départements de l’entreprise.
Peu de gens vérifieront que le vice-président des ventes a réellement besoin de tous les fichiers RH de l’ensemble de l’équipe commerciale. En réalité, à quand remonte la dernière fois que vous avez répondu à une directive de votre patron par « Vraiment ? Êtes-vous sûr d'en avoir besoin ? Cela n’arrive tout simplement pas.
En rapport:Fraude au PDG et comment l'éviter.
Phishing W2
Une version encore plus ciblée de la chasse à la baleine se produit lorsqu'un attaquant utilise ou usurpe le compte de messagerie d'un cadre simplement pour obtenir les W2 des employés ou les W9 des sous-traitants. La période des impôts est la pire période pour ce type d’attaques, car la plupart des services de paie des entreprises sont habitués à recevoir ce type de demandes.
Ces demandes n’ont même pas besoin d’émaner d’un dirigeant de l’entreprise. Ils peuvent être usurpés de manière à donner l’impression qu’ils proviennent de l’IRS, du fabricant d’une certaine marque de logiciels fiscaux populaires ou même d’un bureau de CPA. Les plus efficaces semblent provenir d’un cadre supérieur au sein de l’entreprise, mais paraître provenir de l’IRS peut susciter juste assez de peur pour éviter un examen minutieux.
Phishing pour diffuser un ransomware
En 2016, on estime que quatre-vingt-dix pour cent des e-mails de phishing transportait une forme de ransomware. Alors que le but du phishing est d'accéder à des informations, les attaquants commencent à regrouper un package de ransomware pour augmenter les revenus générés par ces attaques.
Ce qui est vraiment insidieux ici, c’est la croyance parmi ces attaquants selon laquelle toute personne suffisamment crédule pour être victime de phishing est également susceptible de payer la rançon lorsque ses fichiers et ses photos ont été verrouillés. Malheureusement, les statistiques présentées à la fin de cet article confortent cette croyance.
Souhaitant
Avec la popularité croissante des technologies de voix sur IP (VoIP), certains phishers se sont contentés d'appeler les gens pour tenter d'obtenir leurs informations. Un serveur VoIP peut être configuré pour imiter à peu près n'importe quelle entité qu'un phisher souhaite usurper l'identité, d'une banque à une branche du gouvernement. Ici, le ciel est vraiment la limite.
La possibilité de modifier les informations d’identification de l’appelant fournies par le serveur, combinée à la possibilité de sélectionner l’indicatif régional à partir duquel le serveur appelle, permet à un escroc de se faire passer pour quelqu’un d’autre au téléphone. Si l’on tient compte de l’ampleur de l’externalisation de nos jours, ils n’ont même pas besoin d’avoir l’anglais comme langue maternelle pour réussir marginalement dans ce domaine.
Voir également: Qu'est-ce que le vishing et comment l'éviter.
SMiShing
Selon un rapport de 2010 , 90 pour cent des messages texte sont lus dans les trois minutes suivant leur réception et 99 pour cent des messages texte sont lus. Il n’est pas étonnant que les SMS soient devenus un autre moyen permettant aux fraudeurs de cibler leurs victimes.
Comme toute autre campagne de phishing, l’escroc envoie des SMS en masse à des centaines, voire des milliers de numéros de téléphone, avec des affirmations telles que « Votre carte de crédit/débit a été désactivée en raison d’une activité suspecte. Veuillez appeler notre numéro gratuit pour vérifier vos coordonnées. ou 'Vous avez été sélectionné pour gagner une virée shopping de 1 000 $. Soyez simplement l'un des 100 premiers visiteurs de cette page Web à réclamer votre prix. Encore une fois, les tactiques visent à obtenir une réponse rapide et à collecter autant d’informations que possible sur la victime.
En rapport: Qu'est-ce que SMiShing et comment l'éviter.
Quelles sont les tactiques les plus courantes pour les attaques de phishing ?
Les tactiques les plus couramment utilisées sont envoyées par courrier électronique, les courriers électroniques prétendant provenir de PayPal, de l'une des grandes banques, ou même du FBI, de la CIA ou du Département de la Sécurité intérieure, pour n'en nommer que quelques-uns. Les e-mails contiendront tous les logos officiels de l'entité usurpée, mais contiendront deux cadeaux très importants :
- Il y aura un fort sentiment d'urgence qui vous obligera à agir immédiatement pour éviter que quelque chose de terrible ne vous arrive, comme une saisie d'actifs, un verrouillage de compte ou même une arrestation.
- Ils auront soit un fichier joint que vous devrez remplir, soit un lien vers un site Web avec des champs d'informations personnelles à remplir.
Gardez à l’esprit que le but d’un phisher est de collecter des informations que vous ne divulgueriez pas à n’importe qui. Pour ce faire, ils ont besoin que vous pensiez que vous avez affaire à une personne en position d’autorité et qu’ils ont une raison valable de collecter ces informations.
Exemples:
- PayPal vous a envoyé un e-mail vous informant qu'il a détecté une activité suspecte sur votre compte. Par courtoisie, ils ont verrouillé votre compte jusqu'à ce que vous fournissiez suffisamment d'informations pour prouver que vous êtes le propriétaire légitime du compte en question. Pour ce faire, vous pouvez soit remplir le formulaire ci-joint et cliquer sur le bouton « Soumettre », soit répondre à leur e-mail en répondant à une liste de questions, telles que « quel est le nom de jeune fille de votre mère ? et « quelle banque utilisez-vous pour vos chèques personnels ? » et même « quels sont vos numéros de comptes bancaires pour tous vos comptes courants ?
- Wells Fargo a remarqué une activité suspecte avec votre carte de crédit et a verrouillé votre compte. Pour débloquer vos fonds, vous devrez remplir le document ci-joint et leur renvoyer par e-mail en utilisant le lien fourni dans le document.
- Le FBI a suivi les activités illégales jusqu’à l’adresse IP de votre ordinateur. Si vous ne remplissez pas le formulaire ci-joint et ne versez pas la caution (généralement un bitcoin), un mandat sera délivré à votre organisme local d'application de la loi pour vous appréhender et vous détenir jusqu'à votre procès.
- Vous avez gagné à une loterie pour laquelle vous n'avez jamais acheté de billet.
Les sites Web de phishing constituent également un moyen efficace d’amener des utilisateurs peu méfiants à soumettre des informations qu’ils ne divulgueraient normalement pas. Il peut s’agir de fausses pages de connexion conçues pour ressembler exactement à une entreprise populaire ou commune. Selon Symantec , les utilisateurs d'un service de stockage de fichiers cloud populaire, Dropbox, se sont vu présenter une fausse page de connexion hébergée par le même service de stockage de fichiers cloud.
Une version très complexe de cette tactique est utilisée pour obtenir les informations de connexion de l’utilisateur, qui sont enregistrées par la fausse page de connexion en texte brut pour que l’attaquant puisse les utiliser ultérieurement. Le navigateur de l’utilisateur est ensuite redirigé vers la page de connexion du site réel avec les informations d’identification soumises. L’effet global est que l’utilisateur est connecté sans aucun signe indiquant que ses informations viennent d’être volées.
L’attaquant peut alors, à loisir, se connecter au compte de l’utilisateur et s’en sortir. Ils peuvent également tester ces mêmes informations d'identification par rapport à d'autres services en ligne pour voir si l'utilisateur en question a utilisé la même combinaison de nom d'utilisateur et de mot de passe ailleurs, comme Gmail, Yahoo !, eBay ou tous les principaux sites de banque en ligne.
Internet n’est pas le seul moyen de phishing. Avec la popularité croissante des smartphones, l'utilisation de messages SMS et d'appels téléphoniques vers des numéros de téléphone mobile pour demander des informations a également augmenté. Il est possible pour un attaquant de modifier l'identification de l'appelant pour présenter de fausses informations ou même d'utiliser un numéro de téléphone VoIP avec un indicatif régional local pour la victime potentielle.
Ils peuvent alors prétendre être une banque, le processeur de leur carte de crédit ou même les forces de l'ordre locales. Comme ils s’occupent d’escroquer les gens, aucune réclamation n’est trop scandaleuse, tant qu’elle fonctionne.
Comment éviter de devenir accro
Premièrement, ne paniquez pas. Peu importe ce que dit cet e-mail, cet appel téléphonique ou ce site Web, ce n’est jamais si grave. Si tel était le cas, vous n’en recevriez pas de notification via un message préenregistré lors d’un appel téléphonique, par courrier électronique ou via une annonce contextuelle lorsque vous êtes en ligne.
Lorsque Wells Fargo détecte une activité suspecte sur votre compte, sa politique normale est de refuser la transaction suspecte et de demander à son équipe de prévention de la fraude de vous appeler par téléphone pour savoir s'il s'agit d'un achat légitime.
PayPal gèle parfois les comptes en cas de problèmes, mais ils ne vous enverront jamais de pièce jointe à remplir et à leur retourner. Ils ne vous demanderont jamais non plus de détails comme le nom de jeune fille de votre mère, sauf peut-être comme une question secrète lorsque vous oubliez votre mot de passe.
Le FBI a la réputation de fermer des sites Web illégaux et de remplacer sa page d'accueil par sa propre page d'avertissement. Cependant, visiter l’un de ces sites n’est pas une activité illégale, vous ne pouvez donc pas être condamné à une amende pour avoir visité un site Web.
Si l'e-mail contient un lien, ce sera vers leur page d'accueil principale ou peut-être vers une page de connexion. Pour vérifier le lien, placez simplement la flèche de votre souris sur le lien, mais ne cliquez pas dessus. Lorsque la flèche de votre souris « survole » un lien, une petite fenêtre contextuelle apparaît en bas de la fenêtre indiquant où va ce lien.
Ce n’est pas parce que vous voyez PayPal en lettres bleues avec un soulignement dans le corps de l’e-mail que le site Web qui s’ouvrira sera celui de PayPal. Il pourrait s’agir de « Bob’s Famous Rip Offs and Scams, Inc. »
Sur les appareils mobiles, pendant que vous lisez l'e-mail, vous pouvez appuyer longuement sur un lien contenu dans l'e-mail pour voir où il va. Vous aurez alors la possibilité de copier l’URL, de l’ouvrir dans le navigateur par défaut de votre appareil ou d’annuler la sélection.
Parfois, l'URL sera obscurcie à l'aide de sites comme bit.ly . Des sites comme celui-ci sont destinés à raccourcir les URL afin de les intégrer dans des tweets ou des articles de micro-blog où vous disposez d'un nombre limité de caractères pour votre message. Il n'y a aucune raison de masquer l'URL de destination d'une correspondance légitime envoyée par courrier électronique.
Pour les sites Web frauduleux, les principaux éléments à vérifier sont l'adresse réelle du site, l'existence d'un certificat de sécurité et la validité de ce dernier.
L'icône de cadenas vert dans l'exemple ci-dessus montre que l'URL affichée dans la barre d'adresse correspond à l'URL intégrée dans le certificat de sécurité et que le certificat de sécurité provient d'un émetteur de certificat réputé. Vous pouvez en savoir plus sur comment reconnaître les sites Web sécurisés ici.
Dans le cas des e-mails en particulier, il est utile d'apprendre à vérifier les détails de l'en-tête de l'e-mail, en particulier pour tout e-mail appelant à une action immédiate. Même les informations fournies par votre patron doivent être vérifiées deux fois, juste par mesure de sécurité. Vous seriez étonné de voir à quel point il est facile pour un phisher de « usurper » une adresse e-mail appartenant à quelqu'un que vous connaissez et en qui vous avez confiance. Il s’agit plutôt d’une attaque de spear phishing, mais elle reste assez facile à réaliser.
Si l'e-mail contient un lien qui semble légitime, vous souhaiterez toujours éviter de cliquer dessus ou d'ouvrir des pièces jointes. Les grandes entreprises comme PayPal et les grandes banques n'envoient pas d'e-mails contenant des pièces jointes. Au lieu de cela, tous les documents importants sont soit envoyés par courrier postal, soit joints à votre compte en ligne. Leurs e-mails vous feront simplement savoir qu'il y a un message pour vous et vous encourageront à vous connecter à votre compte pour découvrir ce que contient ce message.
Notez également à qui l’e-mail est adressé. S'il provient légitimement de votre banque ou de toute personne auprès de laquelle vous avez réellement un compte, il vous sera adressé. Pas à « Cher client », « Cher Monsieur ou Madame » ou même « Cher titulaire de compte ».
S’il est vrai qu’il y a eu des fuites massives de données sur les comptes, la plupart des phishers et des escrocs ne se soucient pas d’acheter ces bases de données. Ils s’appuient sur des méthodes plus anciennes car, le triste fait est qu’elles fonctionnent toujours.
L’exception à cette règle concerne le spear phishing. Ces e-mails vous seront adressés car le spear phisher vous a spécifiquement ciblé. Ne soyez pas trop paranoïaque à ce sujet. Ils surveillent probablement plusieurs centaines de personnes en attendant qu’ils publient quelque part quelque chose qui puisse servir d’appât.
Même s'ils n'obtiennent qu'un retour d'un pour cent, cela représente quand même des centaines d'identités ou même des cartes de crédit volées qui peuvent désormais être vendues sur le dark web, utilisées pour ouvrir des lignes de crédit, facturer des frais scandaleux sur des lignes de crédit existantes ou même simplement ciblez-les pour d’autres escroqueries comme le désormais tristement célèbre Nigérian 419.
Un résumé des signaux d’alarme/signes de danger
- L’un des plus grands signaux d’alarme pouvant indiquer une éventuelle attaque de phishing est un mot mal orthographié ou une mauvaise grammaire. Toutes les entités que ces fraudeurs imitent emploient des rédacteurs et des éditeurs professionnels pour s'assurer que leur correspondance et leur présence sur le Web sont exemptes de fautes de frappe et grammaticalement correctes. Si vous parvenez à repérer une erreur, il y a de fortes chances que l'e-mail ne provienne pas de la société dont il prétend provenir ou que le site Web ne représente pas réellement la société répertoriée. Si vous ne détectez aucune faute de frappe ou erreur grammaticale, cela ne signifie pas nécessairement que les informations sont fiables.
- Toute entreprise qui vous a dans sa base de données vous adressera également tous les e-mails directement et non à un destinataire générique ou vague. Si vous possédez un compte PayPal, tout e-mail que vous recevrez de PayPal commencera par un message d'accueil contenant votre nom. S'il est écrit « Cher Monsieur ou Madame », « Cher titulaire du compte PayPal » ou encore « À qui de droit », alors vous pouvez être sûr qu'il ne provient pas de PayPal. Encore une fois, dans le cas du spear phishing, ce n’est pas parce que votre nom figure dans la salutation que c’est légitime.
- Si l'e-mail contient une pièce jointe, supprimez-la et passez à autre chose. Les banques, PayPal et le FBI savent tous qu’il ne faut pas inclure une pièce jointe dans toute correspondance officielle. Ne l'ouvrez pas, ne répondez pas à l'e-mail et surtout ne cliquez sur aucun lien contenu dans l'e-mail. C'est une arnaque et peut être détruit en toute sécurité. Les seules exceptions à cette règle sontsignatures numériques, qui peuvent parfois apparaître sous forme de pièces jointes. En dehors de cela, les attachements doivent être traités comme les plus impies des impies.
- Les en-têtes d'e-mails enregistrent la provenance d'un e-mail, l'endroit où il a été envoyé et l'adresse à utiliser pour les réponses. Il y a beaucoup plus d'informations stockées dans l'en-tête, mais ces trois informations sont les plus importantes pour identifier une arnaque potentielle. Il est en fait très facile de donner l’impression qu’un e-mail provient de PayPal ou de Bank of America, mais il est beaucoup plus difficile de masquer l’adresse e-mail réelle d’où il provient. Dans Hotmail, lorsqu'un e-mail a été signalé comme indésirable par Microsoft, l'adresse e-mail complète de l'expéditeur s'affiche automatiquement en haut de l'e-mail lors de son ouverture. Si l'e-mail n'a pas été signalé comme indésirable, vous pouvez vérifier l'adresse e-mail en ouvrant l'e-mail et en plaçant la flèche de votre souris sur le nom de l'expéditeur. Une petite boîte apparaîtra contenant l'adresse e-mail complète de l'expéditeur. S'il s'agit réellement de l'entreprise dont il prétend provenir, vous devriez voir le nom de l'entreprise après le symbole « @ ».
- Il en va de même pour tous les liens contenus dans un e-mail. Si vous placez la flèche de votre souris sur le lien, mais ne cliquez pas dessus, vous verrez une petite ligne en bas de la fenêtre de votre navigateur avec l'URL de destination du lien. Si cette URL ne contient pas le nom de l’entreprise dont l’e-mail prétend provenir, ne cliquez pas dessus. Fermez cet e-mail, ouvrez votre navigateur Web et saisissez vous-même l’adresse Web de l’entreprise.
- Toute affirmation selon laquelle vous recevez de l’argent d’une personne en dehors de votre pays d’origine est garantie à presque 100 % comme étant frauduleuse. Personne n’est payé pour fouiller d’anciens dossiers à la recherche de destinataires d’argent. Aucun banquier ou représentant gouvernemental, quel qu'il soit, ne tentera de faire sortir de l'argent de son pays en contactant une personne au hasard sur Internet et en concluant un accord. Aucune banque avec laquelle vous n’avez jamais fait affaire n’aura de compte à votre nom n’attendant que que vous en preniez possession.
- Un site Web prétendant avoir trouvé des virus sur votre ordinateur.Aucun site Web n'a la capacité d'analyser votre ordinateur à la recherche de virus. Les virus informatiques sont de petites choses insidieuses qui nécessitent un accès à votre ordinateur bien plus important qu'une simple page Web ne peut le gérer. Un véritable programme antivirus examine non seulement les fichiers de votre disque dur à la recherche de signes d'infection, mais il recherche également les programmes en cours d'exécution, les services actifs, les utilitaires cachés et tout autre domaine où ces bogues sont soupçonnés de se cacher. Vérifier tous ces domaines prend du temps et des ressources comme la puissance de traitement. Ce n’est pas quelque chose qui peut être fait à partir d’un site Web.
- Une fenêtre contextuelle du FBI vous inflige une amende pour activité illégale en ligne.Le FBI n’utilise pas de fenêtres contextuelles pour infliger des amendes aux criminels en ligne. Ils fermeront les sites qui font le trafic de marchandises illégales ou se livrent au piratage, mais ils ne peuvent pas imposer d'amende aux personnes qui visitent de tels sites. Seul un juge a le pouvoir d'imposer une amende à un criminel présumé. Le FBI peut rassembler des preuves, monter un dossier, demander un mandat d'arrêt contre un suspect et procéder à l'arrestation lorsqu'un mandat a été signé par un juge. Ils n’ont pas le pouvoir d’imposer des amendes à qui que ce soit.
- Un site que vous visitez régulièrement apparaît et vous demande de vous connecter mais n'affiche pas le cadenas vert est très suspect.Une connexion légitime à une entreprise aura un certificat de sécurité qui correspond à l'URL du site qui peut être vérifié par votre navigateur affichant l'icône de cadenas vert mentionnée précédemment. Votre pari le plus sûr pour ces pages est de fermer la page, d’ouvrir un nouvel onglet et de saisir vous-même l’URL réelle. Vous pouvez également parcourir votre liste de favoris ou de favoris et cliquer sur le lien que vous y avez enregistré.
- Sous-domaines usurpés. Il s’agit d’une tactique astucieuse dans laquelle l’escroc crée un site Web qui ressemble exactement à la page d’accueil de l’entreprise ou de l’agence dont il souhaite usurper l’identité. Malheureusement, l'URL de cette entité est déjà utilisée. Par exemple, ils ne peuvent pas actuellement enregistrer le nom de domaine paypal.com car PayPal a déjà verrouillé ce domaine. Mais supposons que le futur phisher ait déjà enregistré iamascammer.com comme domaine personnel. Il peut alors tenter d'enregistrer le sous-domaine de paypal.iamascammer.com. Ils créent ensuite une page Web pour ce sous-domaine qui ressemble exactement à celle de PayPal, mais avec une touche supplémentaire. Chaque fois qu'un utilisateur saisit ses informations de connexion, une page lui demande de confirmer son identité. L’escroc peut littéralement demander toutes les informations qu’il souhaite et suffisamment de personnes tomberont dans le piège pour justifier leurs efforts. Après avoir saisi leurs informations, le site usurpé redirige ensuite vers le site réel de PayPal en fournissant les informations de connexion de l'utilisateur. Ils n'en sont pas plus conscients, mais s'appauvriront probablement un peu dès que l'escroc nettoiera leur compte PayPal.
Où signaler les e-mails de phishing
La plupart des personnes qui reçoivent des e-mails de phishing les supprimeront simplement, et ce n’est pas un problème. Mais si l’un d’entre eux passe à travers votre filtre anti-spam et semble particulièrement efficace ou dangereux, ou si vous en avez tout simplement marre et souhaitez jouer un rôle plus proactif dans la lutte contre le phishing, vous pouvez signaler les e-mails de phishing aux autorités.
Aux États-Unis, vous disposez de plusieurs endroits pour signaler le phishing. Transférer l'e-mail à :
- la FTC à [email protected]
- le groupe de travail anti-phishing à [email protected]
- l'équipe de préparation aux urgences informatiques des États-Unis (US CERT) à [email protected]
- et l'entité usurpée, qu'il s'agisse d'une banque ou d'une autre société
La FTC note qu'il est utile d'inclure l'en-tête complet de l'e-mail, qui comprend les noms d'affichage et les adresses e-mail de l'expéditeur et du destinataire, la date et l'objet. Certaines de ces informations sont masquées par défaut sur certains clients de messagerie, vous devrez donc peut-être rechercher comment afficher ces informations.
Les résidents du Royaume-Uni peuvent signaler les escroqueries par phishing sur le Site Web d’Action Fraud . Les utilisateurs doivent simplement répondre à quelques questions sur la tentative de phishing et sur la personne usurpée pour obtenir l'adresse e-mail appropriée à laquelle la transmettre.
Réparer les dégâts après avoir été accroché
Si vous avez été victime d’un phishing astucieux, vous devez alors contrôler les dégâts. Commencez par traiter cela comme un cas d’usurpation d’identité, principalement parce que c’est à cela que cela peut conduire si vous n’agissez pas.
Arrêtez immédiatement votre ordinateur au cas où un package ransomware serait inclus dans l'attaque de phishing. Si vous pensez qu’une infection par ransomware est probable, demandez l’aide d’un professionnel. Si le PC est un ordinateur de travail, informez-en immédiatement votre équipe informatique. N'hésitez pas sur celui-ci. Une infection de ce type peut se propager rapidement aux serveurs de l’entreprise et aux magasins de données du réseau, provoquant de véritables ravages.
S’il s’agit d’un ordinateur personnel, vous aurez toujours besoin d’aide. Demandez à votre équipe informatique professionnelle si elle peut vous aider. Il y a de fortes chances que ce ne soit pas le cas, mais demandez quand même. S'ils ne peuvent pas vous aider, ils connaissent peut-être quelqu'un dans votre région qui le peut, comme un pigiste ou un entrepreneur local. Le but ici est d’obtenir l’aide de quelqu’un qui peut soit restaurer vos données importantes, soit protéger ce qui n’a pas encore été verrouillé.
Votre deuxième action doit être tout aussi immédiate. Vous devez vous connecter en utilisant un autre ordinateur et commencer à changer vos mots de passe. Commencez par vos opérations bancaires en ligne et parcourez tous les sites qui ont quelque chose à voir avec vos finances. Une fois vos finances en sécurité, passez à vos comptes de messagerie, à vos services de stockage de fichiers, à vos comptes de réseaux sociaux et à tout autre site nécessitant une connexion. Si vous ne vous souvenez plus de tous les sites qui nécessitent une connexion, ne rallumez pas votre ordinateur pour vérifier, pas avant qu'il ne soit examiné par un technicien compétent.
Vous souhaiterez également contacter les principales agences de crédit et mettre une alerte de fraude sur votre compte de crédit en tant que victime potentielle d'usurpation d'identité. Cela n’empêche pas un voleur d’identité d’utiliser votre identité, mais cela facilite la réparation des dommages causés à votre crédit après coup. Vous souhaiterez également commencer à surveiller de très près votre crédit au cours des prochaines années. Plus vous réagissez rapidement à un cas d’usurpation d’identité, plus il vous sera facile de reprendre le contrôle de votre identité lorsque les choses tournent mal.
Si vous avez divulgué les informations de votre carte de débit ou de crédit, appelez votre banque et signalez cette carte comme volée. Vous souhaiterez également surveiller attentivement le compte auquel la carte était attachée. Si le numéro de compte lui-même a été donné à l'attaquant, demandez à votre banque de fermer ce compte et d'en ouvrir un nouveau, transférant ainsi vos fonds vers le nouveau compte. Gardez un œil attentif sur vos relevés de compte en faisant attention aux achats suspects ou non autorisés.
Si votre connexion PayPal ou eBay est menacée, essayez de vous connecter à votre compte. Si vous le pouvez, modifiez votre mot de passe et toutes les questions de sécurité. La configuration de l'authentification à deux facteurs est fortement recommandée pour tous les comptes qui l'autorisent, car elle contribue à réduire le risque qu'un attaquant puisse pirater votre compte, même s'il dispose des informations de connexion.
Si vous ne parvenez plus à vous connecter à votre compte, vous devez contacter l'entreprise et signaler un piratage de compte.immédiatement. Plus vous attendez pour agir, plus vos comptes risquent de subir des dommages.
Statistiques
Le problème du phishing et des escroqueries en ligne est devenu si grave que plusieurs entreprises sont actuellement employées pour recueillir et signaler les faits relatifs à ce type d'attaques. Selon un rapport récent environ 30 % des e-mails de phishing sont ouverts. Ceci est considéré comme une estimation prudente basée sur l’échantillonnage de données d’une entreprise. D’autres prétendent que ce chiffre peut atteindre 50 pour cent, mais ils ne disposent pas de chiffres concrets pour étayer leur affirmation. Dans un autre rapport , il y a eu une forte augmentation des e-mails de phishing envoyés en 2016.
JPMorgan Chase j'ai fait un test en 2015 pour voir combien de leurs employés seraient victimes d'une escroquerie par phishing. Un énorme 20 pour cent ont ouvert l’e-mail de phishing. C’est un taux de réussite assez impressionnant. Plus que suffisant pour justifier la création d’un seul e-mail et son transfert via un programme de courrier électronique en masse vers une liste de centaines de milliers d’adresses e-mail.
Le Groupe de travail anti-hameçonnage identifié 123 555 sites Web de phishing uniques début 2016. Au dernier trimestre 2016 ils ont rapporté 95 555 campagnes par e-mail de phishing uniques ont été reçues uniquement par leurs clients. Ce rapport révèle également que les entreprises du secteur des services financiers étaient les cibles privilégiées dans 19,6 % des cas lors de ces campagnes.
Il n’est pas nécessaire de faire beaucoup de calculs pour comprendre qu’une grande entité bancaire comme JPMorgan peut potentiellement être victime d’un peu moins de 4 000 de ces campagnes. Cela représente potentiellement un peu moins de 4 000réussicampagnes de phishing dans une seule banque.
Résumé
La règle principale concernant les emails est de tous les prendre avec des pincettes. Si votre banque a vraiment besoin de verrouiller votre compte, elle vous appellera par téléphone. Lorsque PayPal a un problème avec l'activité de votre compte, ils vous en informent, mais ne demandent pas plus d'informations qu'ils n'en ont déjà. Et ils ne vous demanderont certainement jamais de confirmer les détails de votre compte dans une pièce jointe que vous devrez remplir et leur renvoyer.
La plupart des institutions ont des politiques strictes interdisant l’envoi de pièces jointes à des e-mails. De plus, tout e-mail provenant de l’entité réelle vous sera adressé, contiendra votre nom ou nom d’utilisateur de compte et aura une adresse de réponse qui fait partie de la présence Web réelle de cette entité.
En ce qui concerne les sites Web, méfiez-vous des sites qui apparaissent dans une nouvelle fenêtre ou un nouvel onglet du navigateur. Surtout si vous parcourez des sites contenant des images de lapins avec des crêpes sur la tête.
N’importe qui peut configurer un site Web pour qu’il ressemble exactement à un autre site. Ils peuvent même obtenir un certificat attestant que l’URL est bien celle qu’elle prétend être. Mais si le site est https://www.barikofamerica.com/, vous pouvez être sûr qu'il n'est pas réellement affilié à Bank of America, même s'il ressemble exactement à sa page d'accueil.
Veuillez noter qu'au moment d'écrire ces lignes, https://www.barikofamerica.com/ n'est pas un véritable site Web. Il est utilisé ici simplement comme un moyen d'utiliser une faute d'orthographe pour dissimuler un site de phishing potentiel.
En écrivant cet article, j'ai reçu un e-mail d'un certain M. Robert Pridemore de la National Security Agency à New York. L'expéditeur affirme qu'il a été envoyé au Nigeria par le gouvernement fédéral et qu'on lui a remis un dossier avec une croix rouge dessus, ce qui signifie que mon argent n'a pas été transféré.
L'adresse e-mail de l'expéditeur apparaît comme « [email protected] », l'adresse postale physique fournie dans l'e-mail s'avère être celle de la Chase Bank à Oakland Gardens, dans l'État de New York, et le numéro de téléphone a un indicatif régional de San Fernando Valley, en Californie. Finalement, ce soi-disant représentant officiel de la NSA m'a fourni une adresse email Gmail pour que je puisse le contacter directement. Il ou elle n'a même pas tenté de dissimuler l'adresse e-mail via un faux lien « mailto : ».
Malheureusement, il s’agit du niveau minimum de sophistication requis pour qu’une campagne de phishing fonctionne. Même si je ne contacterais jamais M. Pridemore, trop de gens le font et finissent par se faire payer des centaines, voire des milliers de dollars chacun ou se faire voler leur identité et la vendre à des personnages beaucoup plus sans scrupules.
Quel genre de choses avez-vous vu qui semblaient soit trop belles pour être vraies, soit tout simplement trop suspectes ? Laissez un commentaire ci-dessous et partagez votre exemple d’attaque de phishing.