Comment se prémunir contre les nouveaux types de fraude en ligne ?
25 mars 2022
2021 a atteint un sommet historique de fraude en tout genre. Nous abordons la question de la cyberfraude avec Emeline Manson, formatrice en prévention des fraudes et en cybersécurité et auteure de capsules YouTube sur le sujet.
Isarta Infos : En parlant avec différents entrepreneurs, il semble que la « fraude au président » (utiliser des personnes à responsabilité pour contourner la sécurité d’une entreprise) soit de plus en plus sophistiquée et difficile à percevoir. Est-ce que vous voyez ce même phénomène de votre côté?
Emeline Manson: Je suis totalement d’accord ! La fraude au président est beaucoup plus fréquente et sophistiquée que par le passé. Il existe aujourd’hui des applications comme Anonymouse permettant de simuler l’adresse d’un collègue lors d’un envoi courriel. Ça peut vraiment être troublant : on a l’impression que le mail provient d’un collègue, alors que sa boîte n’a pas été compromise. Les messages peuvent aussi être en français et très crédibles…
Comment les hackers parviennent-ils à personnaliser ainsi leurs attaques?
E. M. : Internet est comme un grand puzzle en ligne. Pensons seulement à l’information qui se trouve sur LinkedIn : c’est un organigramme ambulant, on peut trouver le président d’une entreprise, le VP, le comptable, les gens aux finances, etc. Ça facilite la vie des criminels au plus haut point. Ensuite, les pirates ont accès à des outils de traduction qui sont très performants.
Quels types de messages frauduleux peut-on s’attendre à recevoir dans notre boîte mails ?
E. M. : Il y a en plusieurs. En ce moment, il y a beaucoup de courriels qui reproduisent des notifications de partage de documents dans le cloud. Du type « Telle personne veut partager un document avec vous », avec un mail à l’image de OneDrive, SharePoint ou Google Drive. C’est une chose de plus en plus fréquente, avec l’usage grandissant des outils collaboratifs.
Un autre stratagème est l’envoi d’un faux CV – ce qui est astucieux, en pleine pénurie de main-d’oeuvre (!). Ça se présente comme une pièce-jointe, mais, lorsqu’on l’ouvre, finalement, c’est un fichier exécutable et hop, jackpot, on se retrouve avec un rançongiciel, un virus ou un cheval de troie.
Enfin, une autre fraude courante est de demander à un employé d’acheter des cartes cadeaux à tout le monde, dans le cadre d’un événement à venir, que ce soit Noël, la Saint-Valentin ou autres.
Outre la fraude par mail, existe-t-il d’autres types de cyberfraudes auxquels se méfier?
E. M. : Les médias sociaux sont un autre vecteur important de campagne d’hameçonnage. Une fraude qui circule beaucoup sur Facebook est le message « Regarde qui est mort » nous invitant à cliquer sur un lien externe à la plateforme. Encore ce matin, un client m’a appelé en panique, parce qu’elle avait cliqué sur ce lien et ne savait pas quoi faire. Je l’ai aidé à sécuriser son compte, changer son mot de passe et informer les gens (200 à 300 amis) à qui son compte avait fait suivre ce message.
Sur Instagram, des fraudeurs proposent à des utilisateurs de les aider à obtenir le badge bleu de certification du compte. Or, lorsqu’ils obtiennent l’accès au compte, ils en prennent le contrôle et en expulsent le propriétaire.
Il faut aussi se méfier de la fraude du soutien technique. Dernièrement, une de mes clientes s’est fait prendre dans ce type de fraude. Ayant des problèmes avec son imprimante, elle a fait une recherche Google pour obtenir du soutien technique. Or, elle a cliqué sur une annonce qui était un site Web frauduleux. Le pirate a scanné son ordinateur, il a eu accès à ses mots de passe et, en plus, elle a payé pour le service avec sa carte de crédit !
Quels conseils peut-on donner pour éviter les cyberfraudes?
E. M. : C’est aujourd’hui très difficile de dire si un lien est frauduleux ou non. Il y a la fausse croyance que le protocole HTTPS [Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est toujours sécuritaire, alors que ce n’est pas le cas. Donc, à la base, le premier conseil que je donne est de ne jamais cliquer sur les liens que l’on reçoit par courriel, message texto ou sur les médias sociaux.
Il est préférable de passer par un autre canal de communication pour valider les demandes, que ce soit par Teams, LinkedIn ou même par téléphone. Bref, il faut toujours avoir un pas de recul.