En janvier dernier avait lieu l’édition annuelle du #Panocrim 2023 : panorama de Cybercriminalité organisé par le Clusif (Association de référence de la sécurité du numérique en France), dont l’objectif consiste à identifier les tendances en matière de cyber malveillance.
Notre expert ESET France, Benoit Grunemwald, a participé à cette conférence que vous pourrez revisionner ici et ci-dessous. Si cette intervention concerne majoritairement des menaces visant le grand public, il n’est pas inutile de s’y intéresser aussi en tant que société, TPE comme PME, voire grande entreprise.
Comme nous le signalons ici régulièrement, l'humain reste le maillon essentiel de la chaine de cybersécurité et surtout, nos usages sont désormais plus flexibles que jamais. Nous avons recours au télétravail et utilisons nos ordinateurs comme nos téléphones, autant pour travailler que pour un usage personnel et domestique. Aussi, plus l’éducation aux risques cyber est globale, plus les dangers peuvent être évités et contournés.
Alors, quelles sont les deux préoccupations cyber des internautes en ce début 2023 ?
1/ Le “smishing”
Le smishing est une attaque dont nous vous avions déjà parlé ici. Elle s’orchestre à travers l’envoi de SMS frauduleux, visant à se faire passer pour une entité digne de confiance auprès des victimes afin de leur soutirer des informations personnelles (données de cartes bancaires, identifiants...).
Cette pratique d’hameçonnage est notamment exploitée à travers des campagnes, en cours actuellement, qui concernent la carte vitale ou bien encore la conformité de la vignette Crit’Air.
La tendance qui se dégage inclue une seconde étape. En effet, suite aux arnaques de smishing, les données personnelles récoltées permettent aux délinquants de contacter les victimes par téléphone. Se présentant comme un conseiller bancaire, les délinquants commencent par rassurer leurs victimes en usant d’un ton sécurisant et en utilisant les différentes informations personnelles pour mettre en confiance leur interlocuteur.
Une fois cette confiance acquise, les faux conseillers bancaires changent de ton et agissent avec pression pour obtenir un code nécessaire à la validation d’un virement. Sous prétexte de bloquer un virement frauduleux, ce code leur permet au contraire de valider une opération en leur faveur. Notons que les montant des préjudices enregistrés par les autorités sont en nette augmentation.
2/ Le faux support technique
Cette attaque, également très bien orchestrée, s’appuie sur les ressorts humains et repose sur un système en deux temps : la victime va découvrir des pop-ups ou des sons lui faisant croire que son ordinateur est infecté et lui conseiller de contacter un numéro de téléphone. Ensuite, intervient un téléconseiller qui va mettre la pression à sa victime et la pousser à installer des logiciels parfois malveillants, et surtout à effectuer des paiements pour résoudre son prétendu problème.
En conclusion, peu importe le type de phishing (ou “hameçonnage” en français), ces attaques s’appuient sur un contexte anxiogène, sur la manipulation psychologique et font, malheureusement, toujours plus de victimes. Découvrez-en davantage sur ces deux menaces en visionnant la conférence et pensez à en parler autour de vous et à éduquer vos collaborateurs et équipes !
Enfin, si vous avez été victime d’une attaque, rendez-vous sur cybermalveillance.gouv.fr afin d’obtenir de l’aide et des conseils.
Pour conclure
Deux conclusions sont énoncées à la fin de cette présentation :
D’une part notre société se numérise à grands pas, nombre de services sont accessibles en ligne et leur usage se complexifie à grands renforts de mesures de sécurité. D’autre part, bien que les montants unitaires des préjudices soient en nette augmentation, de nombreuses victimes ne portent pas plainte. Cette étape est pourtant utile et nécessaire pour que des enquêtes soient menées et que des arrestations soient possibles.