Les criminels sont toujours à l’affût des bonnes occasions. Et nous ne pouvons malheureusement que constater que la pandémie mondiale leur en a fourni beaucoup.
Les stratagèmes que les criminels en ligne mettent en place, via des leurres relatifs aux tests COVID-19, vaccins ou appels aux dons en faveur des personnes touchées par la pandémie, reposent sur l’exploitation de la crédulité des individus et des vulnérabilités des entreprises. Tirant parti de la mise en place du travail à distance, en un laps de temps très court, ils ont tenté de prendre des collaborateurs au dépourvu et de les inciter à donner l’accès à des données personnelles et financières ou à autoriser l'accès aux systèmes d’information de l'entreprise.
Les criminels ont naturellement ciblé des secteurs clés, en particulier ceux qui ont été rapidement touchés par la propagation du virus. On s'attend maintenant à ce que les malfaiteurs s'attaquent à d'autres secteurs d’activité en phase de reprise et dont certains en situation de manque de personnel.
Selon le rapport annuel Internet du Federal Bureau of Investigation (FBI), en 2021, les plaintes pour cybercriminalité ont augmenté de 7 % et ont entraîné des pertes s'élevant à 6,9 milliards de dollars, soit 64 % de plus que les pertes constatées en 2020. Ce rapport annuel est établi par l'Internet Crime Complaint Center (IC3) du FBI, département qui permet aux américains de signaler directement les cybercrimes.
Une manipulation magistrale
Comme l'illustrent les données du FBI/IC3, l’ingénierie sociale est la pratique préférée des criminels pour mener des attaques cyber à l’encontre des particuliers et des entreprises. "L'ingénierie sociale" englobe une multitude de stratagèmes visant à obtenir un accès, des données ou de l'argent au moyen d’une fraude.
Ces attaques ont été couronnées de succès au fil des années car elles s'appuient sur la nature humaine. Cibler les personnes, qu'il s'agisse d'individus ou de collaborateurs d'entreprises, plutôt que d'essayer de percer la technologie et les mesures de cybersécurité sans cesse plus nombreuses, s'est avéré plus facile et bien plus lucratif. En effet, de nombreuses personnes sont disposées à aider une autre personne qui demande de l'aide. Et beaucoup peuvent être influencées par la flatterie, la manipulation psychologique se révélant efficace pour ouvrir des portes verrouillées et déjouer les systèmes de sécurité.
En 2021, les plaintes pour cybercriminalité ont augmenté de 7 % et ont entraîné des pertes s'élevant à 6,9 milliards de dollars, soit 64 % de plus que les pertes de 2020.
Des astuces nuancées
Hameçonnage. Hameçonnage vocal. Hameçonnage par SMS. Pharming. Il s'agit des tactiques d'ingénierie sociale les plus utilisées. Elles consistent à utiliser des courriels, des SMS et des appels téléphoniques non sollicités, censés provenir d'une entreprise ou d’une personne légitime, pour demander des informations d'identification personnelles, financières et/ou de connexion.
Le hameçonnage, ou phishing en anglais, est le principal mode opératoire, et le plus connu, utilisé par les cybercriminels pour dérober des informations personnelles et/ou bancaires via message électronique. Le smishing exploite les victimes en utilisant les SMS. Le vishing, pour sa part, utilise la communication vocale. Ces approches peuvent être combinées à d'autres méthodes d'ingénierie sociale qui incitent les victimes à appeler un certain numéro de téléphone et à donner des informations sensibles et personnelles. Enfin, le pharming, une combinaison de phishing et de farming, est une escroquerie en ligne qui consiste à manipuler le trafic d'un site web et à le rediriger vers un site frauduleux, dans le but de voler des informations confidentielles.
Bien que ces tactiques existent depuis un certain temps, les criminels améliorent constamment leurs méthodes et recherchent les bonnes occasions pour les mettre en place. Récemment, la pandémie en fut une. Il existe toutes sortes de variantes à ces stratagèmes, qui peuvent être adaptées en fonction des problèmes actuels ou de ce qui fait l'actualité à un moment donné.
Une attaque par phishing, par exemple, demandait à l'utilisateur de confirmer son adresse électronique pour s'inscrire à un rendez-vous de vaccination. L'objet de l'e-mail faisait référence à l'approvisionnement en doses de vaccin COVID-19 et le corps de l'e-mail contenait un lien malveillant qui dirigeait l'utilisateur vers une fausse page web, l'encourageant à se connecter et à fournir de nombreuses informations personnelles pour obtenir un vaccin.
Exploiter les faiblesses
Au sein des entreprises, la vulnérabilité des employés s’est accrue, et pas seulement en raison des problèmes de cybersécurité liés au travail à distance. Pendant la pandémie, les collaborateurs ont dû concilier travail à temps plein, enseignement à domicile, garde d'enfants et, dans certains cas, soins aux personnes âgées, sans compter la crainte d'être infectés par le virus lui-même, augmentant de façon significative leur niveau de stress. Sous pression, les gens sont plus susceptibles de céder à des demandes urgentes émanant d'un fournisseur, d'un partenaire commercial ou d'un collègue présumé important.
C'est exactement la stratégie qui se cache derrière les systèmes de compromission d'e-mails professionnels. Ces escroqueries sophistiquées sont menées par des fraudeurs qui compromettent des comptes de messagerie par des techniques d'ingénierie sociale ou d'intrusion informatique afin d'effectuer des transferts de fonds non autorisés avec un caractère d’urgence. Le courriel demande aux expéditeurs d'agir rapidement, ce que beaucoup font. Selon le rapport du FBI, les cybercriminels ont volé 2,4 milliards de dollars en compromettant des comptes de messagerie professionnelle.
La tromperie Deepfake
Les criminels continuent à faire preuve de créativité. Alors que les entreprises se tournent vers les réunions virtuelles, une nouvelle technique d'escroquerie est apparue : le Deepfake. Les Deepfakes sont des personnages manipulés numériquement qui ressemblent à s’y méprendre à quelqu'un d'autre.
Jusqu'à présent, il était courant qu'un criminel se fasse passer pour le président d'une filiale étrangère et demande des virements électroniques pour effectuer une transaction confidentielle. Les escrocs commencent à s'éloigner de cette méthode et envoient désormais des courriels d'apparence officielle provenant, par exemple, d'un membre du service fiscal ou comptable de l'entreprise, demandant des formulaires spécifiques ou d'autres informations. Ces données peuvent comprendre les numéros fiscaux des employés ainsi que de l'entreprise elle-même ; les fraudeurs peuvent les utiliser pour mener des escroqueries individuelles ou d'entreprise. Par exemple, certains fraudeurs se font passer pour les autorités fiscales ou une autre entité administrative pour extorquer des paiements d'impôts en alléguant une sous-déclaration.
L'une des raisons du succès des attaques par usurpation d'identité est la sophistication avec laquelle les auteurs ciblent des personnes spécifiques, imitent le comportement des entreprises ou reproduisent des scénarios plausibles. Souvent, les fraudeurs numériques obtiennent des informations de sources publiques. Imaginons que le PDG d'une entreprise ait parlé à des investisseurs d'un voyage d'affaires à venir dans un pays étranger ou qu'il y ait fait référence dans les médias sociaux. Un escroc habile pourrait utiliser cette information ou d'autres pour tromper des collaborateurs peu méfiants en leur demandant des fonds à un moment propice. Par ailleurs, il est souvent plus plausible de se faire passer pour un cadre adjoint plutôt que pour un cadre supérieur plus visible, tel que le directeur financier.
Tirer parti de la crise
Les criminels profiteront toujours des crises pour lancer des attaques opportunistes d'ingénierie sociale. La pandémie n'a pas fait exception. Ils se déplacent pour trouver rapidement de nouvelles opportunités, profitant des catastrophes naturelles, de la période de déclaration fiscale, et maintenant, du conflit ukraino-russe.
Avec l'augmentation des attaques d'ingénierie sociale, il est urgent que les entreprises maintiennent un rythme régulier de communication et de formation pour aider les collaborateurs à comprendre les attaques d'ingénierie sociale et les techniques changeantes des criminels. Reconnaître les attaques et les faire connaître sont les étapes les plus importantes pour les prévenir.
Même avec une plus grande sensibilisation, de solides contrôles internes en place et une cybersécurité stricte, les schémas d'ingénierie sociale peuvent toujours réussir. Comme nous l'avons mentionné précédemment, les criminels sont créatifs et trouvent sans cesse de nouvelles façons de tromper les gens.
Heureusement, une couverture complète pour se prémunir contre les délits de nature commerciale, avec une extension pour l'ingénierie sociale est disponible pour faire face aux pertes si les criminels parviennent à leurs fins. Bien que les avenants d'ingénierie sociale de nombreux assureurs limitent la couverture à la perte pécuniaire, la couverture de l'usurpation d'identité frauduleuse (alias ingénierie sociale) d'É«¶à¶àÊÓƵprotège également contre la perte de biens.
Selon les circonstances du délit, un sinistre lié à l'ingénierie sociale peut également avoir un impact sur une police d'assurance cyber. Il est important de comprendre comment les couvertures contre la fraude et la cybercriminalité peuvent s'appliquer à certains types de sinistres.
En matière de lutte contre la fraude, la prévention est la clé. Le renforcement des contrôles et des processus de l'entreprise ainsi que la surveillance par les collaborateurs sont des mesures de prévention essentielles. Et avoir la bonne assurance est un réel plus.
