Phishing et Coronavirus : une aubaine pour les cybercriminels

Phishing

Le phishing fait trembler une grande partie de la population depuis quelques années et plus encore en temps de crise. Même si les utilisateurs de nouvelles technologies sont de plus en plus nombreux à être conscients des dangers qui s’y rattachent, le risque zéro n’existe pas.

Phishing ou hameçonnage

Le phishing est traduit en droit français par l’hameçonnage. Que ce soit en anglais ou en français, vous aurez compris le lien avec la pratique de la pêche. Et pour cause, il s’agit précisément d’aller à la pêche aux données personnelles.

Les cybercriminels mettent en œuvre cette technique frauduleuse afin d’obtenir de leurs victimes des informations les concernant. L’atout majeur sur lequel de tels escrocs se reposent correspond à l’usurpation d’identité d’un tiers. En effet, ils se font passer pour des tiers de confiance tels que des établissements de crédit pour jouer sur la peur de leurs cibles. Ainsi, ces dernières sont plus enclines à fournir leurs informations confidentielles telles que leurs coordonnées bancaires. Le but est bien évidemment d’en faire ensuite un usage frauduleux.

Cette arnaque a généralement lieu par l’envoi d’un mail comportant une pièce jointe ou un lien hypertexte renvoyant à un faux site. Néanmoins, d’autres moyens sont également exploités tel que pour l’arnaque au colis où l’arnaqueur envoie un sms en se faisant passer pour la Poste.

Contexte d’une crise sanitaire

L’apparition de l’épidémie de Coronavirus a entrainé une forte croissance des cas de phishing. Plusieurs raisons permettent de l’expliquer.

D’abord, la crise sanitaire a engendré un recours massif au télétravail. Cela implique nécessairement pour les employés d’accéder à distance au système informatique de leur entreprise. Pourtant, les appareils permettant cet accès ne sont pas forcément fournis par l’employeur et n’ont donc pas la même sécurité que celle présente au sein de l’entreprise. La vigilance est ainsi de mise, d’autant que le phishing correspondait en 2019 à la cyberattaque la plus fréquente (79 %) contre les entreprises françaises. Par ailleurs, une attention particulière doit également être portée sur l’utilisation d’applications de visioconférence. En effet, les cybercriminels ont réservé des noms de domaine proches des entreprises Zoom et Microsoft Teams, par exemple, dans le but d’attirer les utilisateurs peu rigoureux.

Ensuite, les auteurs de phishing tirent profit du terme « coronavirus » en l’employant directement. A titre d’illustration, environ un spam malveillant sur dix avait pour objet ce terme en France sur le premier trimestre de 2020.

Enfin, il est même arrivé que des cybercriminels créent des sites factices proposant la vente de masques et de gel hydroalcoolique pour parvenir à leurs fins. Le même procédé a également été mis en œuvre s’agissant de la très controversée chloroquine.

La société Kaspersky a indiqué dans son rapport Spam and Phishing en 2018 que sa fonctionnalité Kaspersky Lab, détectant les tentatives de phishing, a été déclenchée 482 465 211 fois au cours de la période étudiée. Ce nombre étant déjà faramineux, celui de 2020 nous laissera bouche bée.

Eviter l’arnaque

Malgré la fréquence des tentatives de phishing, il ne faut pas croire qu’elles aboutissent toutes. En effet, de nombreuses campagnes de prévention ont déjà eu lieu et auront encore lieu à ce sujet.

Ainsi, pour rapidement repérer l’arnaque, il est préconisé de tenir compte de plusieurs indices. Ces derniers correspondent surtout à l’impersonnalisation du message, l’évocation d’un sujet qui nous est inconnu et la mise en avant d’une situation d’urgence.

Evidemment, pour se prémunir de tout risque, il est aussi essentiel d’adopter de bons réflexes. A ce titre, il est de bon sens de survoler le lien hypertexte pour vérifier l’URL et de confirmer l’identité de l’expéditeur si vous êtes liés.

Le plus important des conseils pour se prémunir du phishing est qu’il ne faut jamais communiquer d’informations sensibles telles que les coordonnées bancaires ou des mots de passe par mail et par téléphone. En effet, même les banques, les assurances ou encore les hôpitaux ne sont pas autorisés à les demander.

Publié le 11 juillet 2020 par Amandine Leleu

Pour d’autres articles réalisés par la promotion MSI 2020 : cliquez ici

Sources

Les cyberattaques les plus courantes contre les entreprises, Tristan Gaudiaut, 2020

Les cybercriminels surfent sur la peur du coronavirus, Tristan Gaudiaut, 2020

Le nombre de tentatives de phishing a plus que doublé en 2018, Sebastien Bequerel, 2019

Source de l’image : Freepik