Les seules certitudes dans la vie sont la mort et les impôts, du moins c’est ce que dit la sagesse. Cependant, au 21e siècle, nous devrons peut-être réviser le vieil adage : « Mort, impôts et hameçonnage ». Les escroqueries fiscales par courriel d’hameçonnage ont augmenté aussi rapidement.
L’arnaque fiscale arrive
Comme si la saison des impôts n’était pas assez tortueuse, les administrateurs informatiques et les entreprises doivent maintenant faire face à des attaques d’ingénierie sociale de plus en plus courantes et sophistiquées. L’hameçonnage est en tête de la liste des « douzaines sales » de l’Internal Revenue Service (IRS) des escroqueries fiscales en 2017, ce qui n’est pas surprenant étant donné que le gouvernement américain a signalé une augmentation de 400% des incidents d’hameçonnage et de logiciels malveillants en 2016. Cela a coûté en moyenne 1,6 million de dollars aux organisations victimes en coûts d’intervention.
Comme la majorité des incidents d’hameçonnage, les attaques les plus courantes pendant la saison des impôts sont des courriels frauduleux qui semblent provenir d’une source fiable. Ces escroqueries font pression ou trompent les utilisateurs pour qu’ils divulguent des renseignements personnels, corporatifs et financiers sensibles ou demandent un virement télégraphique. Ce dernier est plus courant dans les attaques d’hameçonnage et de compromission des courriels professionnels ( alias chasse à la baleine).
Pour la saison des impôts 2017, l’IRS a mis en garde de toute urgence contre une escroquerie par hameçonnage du formulaire W-2. Les pirates informatiques prétendant être des cadres supérieurs ou des membres du personnel demandent une liste de tous les employés et leurs formulaires W-2 aux services de paie ou des ressources humaines.
Ils peuvent également demander une liste d’employés mise à jour avec des informations telles que leur numéro de sécurité sociale (ou numéro d’assurance sociale), leur adresse personnelle et leur salaire. Cela s’est étendu au-delà du monde des affaires à d’autres secteurs, notamment les districts scolaires, les organisations tribales et les organismes à but non lucratif, et a déjà touché plus de 30 000 personnes en 2017.
Des attaques similaires ont été menées l’année dernière, faisant de Snapchat et de Seagate Technology des victimes. Les organisations qui ont mordu à l’hameçon font maintenant face à des recours collectifs de la part des employés.
En 2017, des escroqueries par hameçonnage de la saison des impôts ont également été signalées au Royaume-Uni et des pirates informatiques dans le Grand Nord blanc se font passer pour l’Agence du revenu du Canada (ARC) depuis 2013.
Se protéger contre les escroqueries par hameçonnage de la saison des impôts
La saison des impôts, c’est comme tirer du « phishing » dans un baril. Comme pour d’autres attaques d’ingénierie sociale, la prévention est une question d’éducation. Pour vous aider à protéger votre organisation et vos utilisateurs contre les escroqueries par hameçonnage de la saison des impôts, nos experts en cybersécurité de Vircom ont rassemblé ces conseils d’administration.
Encouragez la double authentification (2-FA ou authentification à deux facteurs).
Rappelez à vos utilisateurs s’ils reçoivent un courriel leur demandant leurs renseignements personnels ou financiers, ou des données sur d’autres employés ou leur paie, de prendre le téléphone et d’appeler l’organisation gouvernementale ou la direction qui le demande. Si la personne à l’autre bout du fil semble ignorer, c’était un pirate.
Cher utilisateur, l’IRS ne vous envoie pas de courriel.
Comme indiqué sur leur site Web, « l’IRS n’établit pas de contact avec les contribuables par courriel, messages texte ou canaux de médias sociaux pour demander des renseignements personnels ou financiers ». Si vous recevez un courriel suspect de leur part, visitez leur page de signalement d’hameçonnage ou avisez-les immédiatement à phishing@irs.gov. La page fournit également des moyens aux utilisateurs de repérer la fraude, y compris des échantillons.
… l’ARC ne vous envoie pas de courriel non plus.
Selon le site Web de l’ARC, ils n’enverront jamais de courriel avec un lien et ne vous demanderont jamais de divulguer des renseignements personnels ou financiers; demander des renseignements personnels de quelque nature que ce soit par courriel ou par message texte; demander des paiements par carte de crédit prépayée; donner des renseignements sur les contribuables à une autre personne; à moins qu’une autorisation officielle ne soit fournie par le contribuable; laisser des renseignements personnels sur un répondeur. Assurez-vous également de faire circuler leur page d’exemples de formulaires de remboursement en ligne frauduleux parmi vos utilisateurs.
Passez au numérique.
Compte tenu de la nature de l’escroquerie par courriel d’hameçonnage W-2, votre personnel des ressources humaines, des TI et de la paie devrait retirer leurs titres opérationnels des médias sociaux ainsi que du site Web de l’entreprise. (Leurs paramètres de confidentialité doivent également être réglés au maximum.) Cela semble extrême? Considérez ceci : les hameçonneurs de harpons parcourront leurs profils pour recueillir des informations afin de mieux se faire passer pour eux.
Faites une puanteur sur les liens.
Les pirates informatiques qui ciblent les Américains font souvent pression sur les utilisateurs pour qu’ils cliquent sur des liens malveillants avec des courriels effrayants en utilisant des lignes d’objet comme « L’IRS vous cherche ». Rappelez à vos utilisateurs que, même s’ils sont effrayés, ils ne devraient jamais cliquer sur le lien d’un courriel suspect, surtout pendant la saison des impôts. En tant qu’administrateur informatique, vous êtes la personne-ressource; En cas de doute, transmettez-le-vous.
Diffusez la nouvelle.
Envoyez les informations ci-dessus dans une note interne ou un bulletin accrocheur à tous les utilisateurs. Vous n’êtes pas un grand écrivain? Demandez à quelqu’un du marketing de le faire. Les escroqueries fiscales par courriel d’hameçonnage s’attaquent à ceux qui ne le savent pas. S’assurer que votre équipe est au courant de ce qu’il faut surveiller pendant la saison des impôts est une évidence. N’hésitez pas à partager ce billet avec eux!
Oh oui, et bonne chance avec vos impôts.
Pour d’autres conseils sur la protection contre l’hameçonnage et l’évitement des erreurs humaines en cybersécurité, consultez « Les facteurs humains de la cybersécurité et la prévention des erreurs ».
