Face aux tentatives de cyberescroquerie, la meilleure défense est en effet de rester toujours attentif·ve. Dans le but de sensibiliser la population à la cybersécurité, le Centre national pour la cybersécurité (NCSC), la Prévention suisse de la criminalité (PSC) et les corps de police cantonaux et municipaux collaborent dans le cadre de la campagne nationale S-U-P-E-R.ch, selon un récent article publié sur le site de la Police Cantonale Vaudoise.
Une cyberattaque, qu’est-ce que c’est ?
Les auteur·e·s de cyberattaques approchent leurs victimes par un courriel ou un message instantané, dans le but de réaliser ensuite une cyberescroquerie. En jouant sur l’émotionnel des victimes, iels cherchent à les attirer avec un amour sincère, un gain important ou un héritage, ou à les inquiéter avec une urgence ou un chantage. Ainsi rendues déstabilisées et inattentives, les victimes obéissent à leurs demandes.
Bien entendu, il s’agit d’allégations totalement fausses, mais il est difficile de déceler ces escroqueries. En effet, ces attaques sont préparées avec beaucoup d’astuce et de soin. Par ailleurs, les cyberescroqueries ou piratages sont parfois réalisables en un simple clic et à l’insu de la victime. Les actions réalisées ensuite sont en effet rapides et discrètes (installation d’un logiciel malveillant) ou d’apparence banale et légitime (paiement de frais de douane).
Il est donc crucial de toujours rester attenti·f·ve aux détails lorsque l’on explore sa boîte mail et sa messagerie instantanée. Mener un examen critique des messages reçus permet donc d’éviter de tomber dans les pièges des cyberescrocs. Mais pour pouvoir être attenti·f·ve à ces détails, il faut d’abord savoir ce que l’on entend par « cyberescroquerie » et être capable de reconnaître les situations qui peuvent potentiellement entrer dans cette définition.
Quelle situation représente un risque de cyberescroquerie ?
La campagne S-U-P-E-R.ch présente au public 9 catégories de risques de cyberescroquerie. Ces risques peuvent se présenter à lui par le biais de courriels ou messages instantanés. Chaque catégorie est également accompagnée d’un exemple concret. Elles sont listées ci-dessous :
Hameçonnage
Les cybercriminel·le·s se font généralement passer pour des instances officielles telles que la banque de la victime, son fournisseur de cartes de crédit, ou son opérateur de télécommunications. Le but est de faire croire à un paiement de facture à double, une mise à jour des données du compte bancaire, ou encore un blocage de celui-ci. Les auteur·e·s demandent ensuite à la victime de fournir ses données d’accès au portail client et de carte de crédit.
Hameçonnage/Faux frais
En se faisant passer pour un fournisseur de services officiel, les auteur·e·s réclament un paiement de frais de port ou de dédouanement pour une livraison de colis, qui est en réalité inexistante.
Faux messages de sextorsion
Les auteur·e·s prétendent avoir pris le contrôle de la caméra de l’ordinateur de la victime et détenir des images compromettantes de celle-ci lorsqu’elle naviguait sur un site pornographique. Iels menacent ensuite de transmettre ces images à tous les contacts si une rançon n’est pas versée. Si ce scénario est totalement faux (ces images n’existent pas), il s’agit pourtant bel et bien d’une tentative de sextorsion.
Investissement frauduleux
La victime reçoit une publicité pour un investissement (souvent en cryptomonnaie) qui promet de lui faire gagner beaucoup d’argent en peu de temps. Il s’agit en réalité de faux ou mauvais investissements.
Logiciel malveillant
En prétextant une facture, une commande ou un message vocal, les auteur·e·s poussent leurs victimes à ouvrir une pièce jointe ou à installer un programme. Il s’agit souvent d’une pièce jointe sous forme de document Office. Il suffit d’un simple clic pour que le logiciel malveillant soit téléchargé à l’insu de la victime et infecte sa machine.
Jeux-concours frauduleux
Un courriel/message annonce à la victime qu’elle vient de gagner un téléphone portable, des bons d’achat, ou d’autres gains. Les cybercriminel·le·s s’y font passer pour une entreprise connue. Il suffirait de cliquer sur le lien pour obtenir le produit gagné, mais en réalité les auteur·e·s cherchent à obtenir par ce moyen des informations à caractère personnel, ou de l’argent.
Fraude au paiement anticipé
Comme pour le risque d’escroquerie précédent, celui-ci fait miroiter un gain ou un héritage (inexistant) à la victime. Celle-ci, en répondant à ce courriel/message, recevra une demande de paiement de taxes, de frais d’avocat ou d’impôts, avant de pouvoir percevoir son gain ou son héritage.
Arnaque au président
Les personnes visées par ce risque d’escroquerie sont les collaborateur·rice·s au sein d’une entreprise. Elles vont recevoir un ordre de paiement de la part de leur supérieur·e hiérarchique ou de leur directeur. Souvent, ce paiement est dit urgent et confidentiel, ce qui justifie de ne pas en parler à ses collègues. L’adresse d’expédition du courriel ressemble en général énormément à celle du ou de la directeur·trice réel·le, à quelques détails près. Mais attention, elle peut aussi être son adresse réelle, si sa boîte mail a été piratée en amont de l’arnaque au président. Ces derniers éléments donnent à l’ordre de paiement un aspect sérieux et digne de confiance. Ainsi, la victime s’exécute, pensant faire au mieux son travail.
Arnaque aux sentiments
La victime est approchée par l’auteur·e via les réseaux ou une messagerie instantanée. L’auteur·e cherche ensuite à tisser des liens forts avec celle-ci, parfois sur une longue période. Grâce à un faux nom, et de fausses photos, la victime est mise en confiance. Iel la pousse alors à lui envoyer de l’argent pour un billet d’avion, un visa ou un passeport. Cette escroquerie inflige une double peine à la victime qui, en plus de se voir dépouillée de son argent, a le cœur brisé.
Comment se protéger ?
Pour se protéger au mieux, il est nécessaire d’effectuer un examen critique de tous les messages reçus.
- Faites toujours preuve de méfiance et de bon sens. Si cela paraît « trop beau pour être vrai », c’est que ça l’est !
- Prêtez attention aux détails. Ces courriels/messages présentent souvent des erreurs de grammaire, ou d’orthographe, qui trahissent le caractère illégitime de ces demandes. Souvent, l’adresse électronique d’expédition est similaire à une adresse de votre carnet de contacts, à quelques lettres près… Parfois, elle est connue de votre carnet, mais il peut s’agir d’une personne de votre entourage dont la boîte mail a été piratée. Soyez donc alerté·e si, par exemple, le courriel répond de manière incohérente à une conversation déjà existante, ou si une pièce jointe potentiellement suspecte s’y trouve.
- Ne cliquez pas sur les liens qui vous sont présentés. Essayez d’abord de vous rendre sur le site officiel de votre banque ou fournisseur de service. Souvent, ces instances disposent d’un service de messagerie interne à leur organisation, et c’est par celle-ci qu’elles vous contacteront.
- Vérifiez la réalité des faits qui vous sont avancés. Attendez-vous vraiment un colis ? Si oui, rendez-vous sur la page officielle de l’envoyeur ou du service de livraison pour afficher le suivi. Une autorité supérieure au sein de votre entreprise vous a-t-elle vraiment ordonné un paiement ? Adressez-vous directement à elle, en face-à-face ou au téléphone, pour obtenir plus de détails et ainsi vérifier cette demande. Signalez les courriels frauduleux au service informatique de l’entreprise afin d’éviter d’autres victimes au sein de vos collègues de travail.
- Quoi qu’il en soit, ne payez jamais de rançon, n’offrez pas de l’argent à une personne que vous ne connaissez que virtuellement, et ne dévoilez pas d’informations personnelles ou bancaires.
La S-U-P-E-R méthode
Pour améliorer encore votre sécurité numérique, suivez ces conseils :
- S comme Sauvegarder. Sauvegardez régulièrement vos données sur au moins un autre support.
- U comme Utiliser ses mises à jour. Mettez régulièrement à jour votre système, vos programmes et vos applications en installant les versions les plus récentes. Vérifiez que ces mises à jour proviennent de sources fiables.
- P comme Protéger. Assurez-vous d’avoir installé un antivirus sur votre appareil.
- E comme Equiper ses accès d’un mot de passe fort. Connectez-vous exclusivement avec des mots de passe forts. Ne gardez pas un mot de passe identique pour des accès différents. Des gestionnaires de mots de passe, ou des moyens mnémotechniques existent pour que vous n’ayez pas à tout retenir.
- R comme Réduire. Réduisez les risques d’escroquerie dans le cyberespace en faisant toujours preuve de méfiance.
Enfin, pour évaluer si vous savez maintenant comment reconnaître les situations à risque et améliorer votre sécurité numérique, rendez-vous sur https://www.s-u-p-e-r.ch et participez aux quiz qui vous y sont proposés !
Source: Police Cantonale Vaudoise/ Source photo: Shutterstock/Sashkin