Vous souvenez-vous des vieux courriels d’hameçonnage qui commençaient par « Cher utilisateur »? Eh bien, cette époque est révolue et les escrocs ont appris à mieux vous connaître. Et quel est le meilleur endroit pour le faire – Facebook? Oui, bien sûr, mais ce n’est pas la seule source d’information.
En 2010, des milliers d’entreprises, comme McDonald’s l’année dernière et RecruitIreland il y a seulement 2 jours , se sont fait voler les données de leurs clients. Les fraudeurs utilisent les données extraites de ces bases de données mal sécurisées et les combinent avec des informations recueillies sur un certain nombre de sites de réseaux sociaux, ce qui donne lieu à des tentatives d’hameçonnage très sophistiquées.
Voici un exemple : l’année dernière, un homme a reçu un courriel de sa banque (ou du moins c’est ce qu’il pensait) lui demandant de changer son mot de passe pour améliorer la sécurité. Ce qui est effrayant, c’est le contenu du courriel : mettre à jour votre compte se terminant par xxxx4467. Comment diable ont-ils obtenu son numéro de compte? C’est simple! Si vous avez accès à une base de données qui stocke les numéros de carte de crédit des clients, vous pouvez facilement faire correspondre l’émetteur de la carte de crédit, le type de carte, etc., sans avoir à voir la carte. Vous n’avez qu’à regarder les 8 premiers numéros, trier les numéros par émetteur, puis créer un message personnalisé avec le logo de l’émetteur et le lier à un faux site Web. Voilà, vous êtes prêt à faire du spear phishing!
Je ne parle pas d’une base de données volée dans une banque (qui est probablement très sécurisée). Je parle de ce petit achat qui a été fait sur le site Web d’une petite entreprise. L’entreprise est probablement très légitime et honnête, mais aussi mal protégée.
Donc, si jamais vous recevez un courriel qui semble provenir de votre banque qui vous exhorte à agir sur quelque chose, veuillez communiquer directement avec elle pour remettre en question ou confirmer le contenu du message, soit par téléphone ou en vous rendant sur son site Web. Si vous choisissez l’option en ligne, n’utilisez pas ou ne cliquez pas sur l’URL incluse dans le courriel : entrez l’URL manuellement. Et ne vous fiez pas à vos yeux! Les fausses URL peuvent être cachées dans une URL légitime.
