Si vous receviez un courriel de l’Organisation Mondiale de la santé concernant l’épidémie de coronavirus, l’ouvririez-vous ? Téléchargeriez-vous des pièces jointes et cliqueriez-vous sur des liens pour obtenir plus d’informations ? Les cybercriminels pensent que certains, si ce n’est la plupart d’entre nous, le feront.
Les cyberattaques capitalisent sur le coronavirus (COVID-19)
Depuis le début de l’année 2020, nous avons constaté une augmentation du nombre de personnes contaminées par le coronavirus (officiellement connu sous le nom de COVID-19). Cependant, la santé publique n’est pas la seule menace ; les criminels cherchent à tirer profit de la peur et de l’incertitude causées par l’épidémie pour alimenter des activités frauduleuses visant à voler des informations personnelles et de l’argent, et à infecter les ordinateurs avec des logiciels malveillants.
Au fil des années, les fraudeurs sont devenus plus sophistiqués, utilisant la psychologie sociale et des stratagèmes se basant sur l’actualité pour tromper les consommateurs. Des exemples récents de courriels de phishing le démontrent en pratique.
À première vue, on pourrait facilement le confondre avec un courriel légitime de l’OMS. L’objet est intentionnellement alarmant et conçu pour encourager le destinataire à l’ouvrir. Le logo et le domaine utilisés ajoutent également de la crédibilité. Les nombreuses escroqueries ont incité l’OMS à publier un avis invitant les gens à être vigilants.
Des tentatives d’hameçonnage visant directement les entreprises ont également été signalées. Les courriers électroniques ont invité les destinataires à télécharger un document Microsoft Word pour obtenir plus d’informations. Une fois téléchargé, le fichier Word a activé un logiciel malveillant, permettant aux attaquants d’accéder à des données sensibles. « Les acteurs des logiciels malveillants qui agissent ainsi comprennent clairement les préoccupations économiques liées au coronavirus », a écrit Sherrod DeGrippo, directeur de la recherche et de la détection des menaces chez Proofpoint, dans un article de blog.
Les régulateurs financiers réagissent
Cette augmentation de ces escroqueries a également attiré l’attention des régulateurs. En Chine, la Commission chinoise de réglementation des banques et des assurances (CBIRC) a annoncé que les banques nationales ont reçu de nombreuses plaintes concernant les « fausses informations sur la situation de la maladie pour frauder ou nuire aux intérêts des consommateurs ». Il y a eu plusieurs cas, notamment des courriels envoyés aux victimes, pour les informer des annulations de transport et d’hôtel. Les victimes sont encouragées à cliquer sur des liens ou des numéros de téléphone pour recevoir des remboursements, qui sont ensuite utilisés par les fraudeurs pour obtenir des informations sensibles.
L’Autorité monétaire de Singapour (MAS) a également publié une déclaration selon laquelle ses agents ne demanderaient jamais à des membres du public de fournir des informations bancaires personnelles ou des identifiants de sécurité. Cette déclaration a été faite à la suite de rapports faisant état d’appels frauduleux, d’usurpation d’identité de membres du personnel de la MAS, de demandes de renseignements personnels ou bancaires. Les appels téléphoniques consistent souvent à informer le destinataire que son compte bancaire a été verrouillé ou suspendu. La victime est alors invitée à fournir des informations telles que son nom d’utilisateur et son mot de passe pour les services bancaires sur internet.
Il est probable que les criminels continueront à utiliser les périodes de sensibilité accrue pour leurs propres gains frauduleux, cependant il y a des choses que vous pouvez faire pour vous protéger et protéger votre organisation :
- Ne divulguez jamais de données personnelles, y compris celles relatives à votre compte bancaire, par téléphone. Vérifiez qui vous appelle et demandez même à avoir un numéro pour rappeler afin de vérifier la légitimité de l’appel.
- Les adresses électroniques peuvent être facilement usurpées et, à première vue, peuvent donner l’impression qu’elles proviennent de domaines d’apparence légitime. Ne vous laissez pas tromper par le nom de l’expéditeur.
- Lisez attentivement les messages, les fautes de frappe et d’orthographe doivent être traitées comme des signaux d’alerte.
- Examinez l’URL avant de cliquer dessus, surtout si vous l’avez reçue par un courriel aléatoire qui vous a été envoyé directement. Essayez de naviguer vous-même sur la page web à partir de la page d’accueil de l’organisation ou via Google.
- Ne saisissez jamais vos données personnelles lorsqu’un courriel vous redirige vers une page web ou un document à télécharger.
- Méfiez-vous de toute communication qui tente de vous faire agir sur une impulsion, en suscitant de fortes émotions d’alerte ou de peur.
- Si vous pensez que votre mot de passe a été compromis, changez-le immédiatement et veillez à ne pas utiliser le même mot de passe sur plusieurs sites. Dans la mesure du possible, utilisez le 2FA comme couche de protection supplémentaire.
En tant qu’entreprise certifiée ISO27001, nous voulons terminer ce blog en vous donnant quelques conseils pratiques sur ce que nous faisons ici à ComplyAdvantage pour nous protéger et protéger nos clients.
- Sensibilisation à la sécurité. Tous nos employés ont été informé efficacement et régulièrement sur les moyens pratiques d’aider à détecter ces infractions à la sécurité.
- Rappeler à nos clients que notre équipe ne leur demandera pas de fournir des informations sensibles sur leur compte par courrier électronique.
- Des attaques de phishing simulées en interne. Notre équipe de sécurité de l’information effectue des simulations d’attaques de phishing mensuelles sur l’ensemble de notre personnel.
- Engagement de l’équipe dirigeante. Nos SLT sont pleinement engagés et proactifs dans notre programme de sécurité de l’information et se réunissent régulièrement pour discuter et atténuer les risques auxquels sont confrontés notre entreprise, nos clients et notre chaîne d’approvisionnement.
- Une fonction d’alerte au phishing est intégrée à nos navigateurs pour permettre à nos employés de signaler immédiatement et efficacement le phishing à l’équipe de sécurité de l’information.
Pour en savoir plus sur l’approche de ComplyAdvantage en matière de sécurité, cliquez ici.
Publié initialement 06 mars 2020, mis à jour 20 janvier 2023
Avertissement : Ce document est destiné à des informations générales uniquement. Les informations présentées ne constituent pas un avis juridique. ComplyAdvantage n'accepte aucune responsabilité pour les informations contenues dans le présent document et décline et exclut toute responsabilité quant au contenu ou aux mesures prises sur la base de ces informations.
Copyright © 2023 IVXS UK Limited (commercialisant sous le nom de ComplyAdvantage)