Tirer parti de l’urgence
À l’approche de l’Action de grâce, 2 choses sont sûres : le tryptophane vous laissera somnolent et trop de gens tomberont dans le piège des arnaques du Vendredi fou – et peut-être plus encore le Cyberlundi.
Des milliards seront dépensés au cours de la fin de semaine, et de plus en plus en ligne, ce qui signifie qu’il y a beaucoup d’argent à gagner, à la fois pour les entreprises légitimes et pour les escrocs de toutes formes et de toutes couleurs. Un sondage suggère que l’acheteur moyen dépensera plus de 700 $ cette année pour le Vendredi fou seulement, mais quelle part de cette somme ira aux méchants? Une étude de Kaspersky suggère que la saison des fêtes enregistre 9 % de plus que la moyenne trimestrielle des escroqueries par hameçonnage – bien que cela ne signifie pas que les acheteurs perdront 9% de leurs dépenses à cause de la fraude, cela signifie tout de même que plus de fraudes seront perpétrées qu’à d’autres moments de l’année.
Le défi pour beaucoup sera d’ignorer la ligne d’objet « iPhone pour 100 $ » ou « carte-cadeau gratuite de 50 $ ». La frénésie alimentaire qu’est le Vendredi fou se déroule en ligne (dans un format différent) et l’urgence de capitaliser sur une offre incroyable (qui est, bien sûr, sur le point d’expirer) produit beaucoup de risques.
La menace croissante de l’hameçonnage ciblé
Compte tenu des tendances actuelles en matière d’hameçonnage ciblé, nous nous attendons à ce que cette année soit particulièrement mauvaise à cet égard. De nombreuses campagnes d’hameçonnage seront lancées, mais pas seulement pour les campagnes de vol d’identifiants – les URL et les pièces jointes malveillantes tenteront d’ouvrir votre clic ou de télécharger des rançongiciels, des logiciels espions ou d’autres contenus malveillants, profitant de toute envie d’obtenir une bonne affaire. Les serveurs non sécurisés des détaillants, petits et grands, seront attaqués.
Pourquoi ces attaques sont-elles particulièrement efficaces pendant les Fêtes?
Les 3 Grands ingrédients sont présents :
Incitatifs financiers : Il peut s’agir de petits éléments, mais le volume d’intérêts et de dépenses est là pour en profiter.
La frénésie : Les acheteurs en frénésie d’achat sont moins susceptibles de remettre en question ce qu’on leur offre par courriel.
Manque de sensibilisation : Un public sans méfiance (inconscient) qui est déjà enclin à tomber dans le piège de la fraude, même sans les conditions mentionnées ci-dessus
Cherchez les indices
Heureusement pour quiconque lit cet article, vous êtes probablement plus vigilant et plus conscient de la cybersécurité. Vous pouvez probablement repérer les indices, mais, juste pour en réitérer quelques-uns (ou en offrir quelques-uns à partager avec vos amis et collègues) :
Erreurs d’orthographe
Étant donné que bon nombre des campagnes d’hameçonnage devront établir une certaine légitimité, créer des modèles de courriels automatisés, des pages de destination d’hameçonnage et d’autres propriétés en ligne pour couvrir leurs traces, ils passent souvent à côté de choses. L’orthographe est un domaine souvent négligé. Les entreprises de commerce électronique légitimes ont tendance à employer des équipes de contenu, des correcteurs et des mécanismes en place pour détecter les erreurs. Je ne dis pas qu’une faute d’orthographe devrait exclure complètement le détaillant – je suis sûr que nous avons fait une faute d’orthographe sur ce site quelque part (peut-être dans cet article!). Mais si vous êtes sur le point de donner votre carte de crédit et que vous voyez quelque chose de légèrement anormal, creusez un peu plus profondément – écartez vos soupçons.
Trop beau pour être vrai
C’est probablement le plus grand cadeau. Rien n’est gratuit, ni ridiculement bon marché (surtout pas les iPhones). Peut-être des billets d’avion. Quoi qu’il en soit, si cela semble trop beau pour être vrai, supposez que ce n’est pas le cas. Si vous voulez le croire, faites vos recherches. Cherchez-le sur Google. Consultez le Bureau d’éthique commerciale. Ne vous laissez pas envahir par l’avidité et l’urgence.
Courriel non sollicité (d’un expéditeur que vous ne connaissez pas)
Vous n’avez jamais entendu parler du vendeur auparavant? N’ouvrez jamais le courriel. Les polluposteurs utilisent des méthodes plus sophistiquées pour contourner les filtres. Une bonne protection contre les pourriels devrait offrir un taux de capture supérieur à 99,95%. Mais cela signifie quand même que 5 pourriels pourraient être traités sur 10 000. « La curiosité tue le chat », comme le dit l’expression – en cliquant sur un lien malveillant, vous pourriez perdre des identifiants, des numéros de carte de crédit ou même infecter votre ordinateur avec un vilain cas de rançongiciel.
Demandes de renseignements personnels
Aucune entreprise digne de confiance ne demande d’informations privées dans un courriel – la plupart des entreprises ont mis en place des politiques qui garantiront la sécurité de vos données, et cette sécurité empêche tous les courriels sauf les courriels cryptés. Si un courriel demande TOUTE information confidentielle, ne vous y fiez pas – assumez la culpabilité jusqu’à ce que l’innocence soit prouvée. Utilisez une forme d’authentification multifacteur et connectez-vous à votre compte à partir de l’URL que vous utilisez régulièrement ou contactez l’entreprise (pas via la réponse à tous). Vous pouvez également rechercher le « nom de l’entreprise » et l’« objet du courriel » pour voir si d’autres personnes sont victimes de l’escroquerie. Habituellement, l’entreprise publie des déclarations officielles lorsqu’une escroquerie utilisant son nom fait le tour.
(Remarque : Il vaut la peine de jeter un coup d’œil à la fiche d’information d’Amazon sur l’hameçonnage sur la façon d’avoir une expérience Amazon sécuritaire.)
Conseils généraux pour vous protéger
L’erreur humaine est la principale menace à la cybersécurité. C’est bien établi et continue de faire surface. Voici quelques conseils généraux (au-delà du lancement d’un programme complet de sensibilisation et de formation) qui vous protégeront pendant la période des Fêtes et qui font partie d’une protection intelligente contre l’hameçonnage ciblé :
Reportez-vous à votre carte de crédit lorsque vous effectuez des paiements : Contrairement à votre carte de débit, une carte de crédit offre une meilleure protection et une meilleure traçabilité des consommateurs.
Déployez la défense des URL : Si vous êtes un administrateur et que vous craignez que vos utilisateurs ne tombent dans le piège des escroqueries du Vendredi fou, une solution de défense des URL peut vous protéger contre les redirections masquées qui peuvent vous envoyer vers un site d’hameçonnage.
Protection contre l’usurpation de domaine et d’e-mail : Protégez-vous contre les URL usurpées qui peuvent ressembler à une URL officielle mais qui ont en fait une légère modification (comparez PayPal à PaypaI – voyez une différence? Le second a un « i » majuscule à la fin).
Protection des terminaux : Protégez votre ordinateur contre les rançongiciels, les exploits et les pièces jointes malveillantes grâce à une solution antivirus efficace.
Protection contre les pourriels : Un bon filtrage des pourriels peut arrêter les menaces les plus graves, qui pour la grande majorité commencent comme des pourriels. Si vous ne voyez même pas le courriel non sollicité, votre niveau de risque se rapproche rapidement de zéro.
Alors, restez vigilants, en sécurité et passez de joyeuses fêtes…
