Ce slideshow est rendu public dans le cadre de l'initiative Space Shelter! 2021 à destination du secteur associatif - en partenariat avec Google, Test-Achats/Aankoop, Euroconsumers et SOCIALware (TechSoup Global Network).
La cybercriminalité, qui consiste à utiliser un ordinateur comme outil pour poursuivre des objectifs illégaux, tels que la fraude, le trafic de pédopornographie et de propriété intellectuelle, l’usurpation d’identité ou l’atteinte à la vie privée, est en augmentation.
Vous apprendrez comment vous protéger lorsqu’un pirate, déguisé en entité de confiance, peut vous inciter à ouvrir un e-mail, un message instantané ou un message texte pour voler des données d’utilisateur, notamment des identifiants de connexion et des numéros de carte de crédit.
Découvrez également comment ces fraudes sont perpétrées et apprenez comment protéger votre organisation à but non lucratif et les personnes concernées.
6. Phishing
La plupart des attaques et des violations de données commencent par des messages
contenant des liens et/ou des pièces jointes qui peuvent compromettre un poste de
travail.
Ces attaques sont appelées attaques de Phishing et font partie d'un risque croissant
pour notre sécurité.
Il existe différentes méthodes utilisées par les attaquants, les plus courantes sont :
● Le phishing (courriels).
● Spear Phishing et Whaling (courriels).
● Vishing (appels vocaux).
● Smishing (messages SMS).
● Angler phishing (messages sur les médias sociaux).
7. Phishing
Les attaques de phishing consistent à envoyer des courriels frauduleux, qui
semblent provenir d'une entreprise réputée, à un grand nombre d'utilisateurs
dans le but de tromper certains destinataires et de les inciter à cliquer sur un
lien malveillant ou à télécharger une pièce jointe infectée, généralement dans le
but de voler des informations financières ou confidentielles. L'objectif peut
également être d'installer un logiciel malveillant sur le poste de travail de
l'utilisateur afin d'avoir un contrôle total sur les activités réalisées.
8. Phishing
Exemples courants d'e-mails de phishing :
● Courriel d'un gagnant d'un concours ou d'un héritage. Si vous avez gagné
quelque chose de façon inattendue ou reçu un héritage d'un parent dont vous
n'avez jamais entendu parler, ne vous réjouissez pas trop vite. En effet, la
plupart du temps, ces courriels sont des escroqueries qui vous demandent de
cliquer sur un lien afin de saisir vos informations pour l'envoi du prix ou la
"vérification" de l'héritage.
● Remboursement ou remise d'impôts. Ces messages d'hameçonnage
indiquent généralement que vous avez le droit de recevoir un remboursement
d'impôts ou que vous avez été sélectionné pour un contrôle fiscal. Ils vous
demandent ensuite d'envoyer une demande de remboursement d'impôts ou
un formulaire fiscal (en demandant vos coordonnées complètes), que les
escrocs utilisent ensuite pour voler votre argent et/ou vendre vos données.
9. Phishing
● Alertes Office 365. Escroqueries liées à Microsoft utilisées pour voler des
informations d'identification. Ces e-mails frauduleux signalent des problèmes sur
un compte Microsoft. Ils donnent un lien pour que vous vous connectiez afin de
résoudre le problème, ce qui entraîne bien sûr la compromission de votre compte.
● Avis de la banque. Ces courriels vous donnent normalement un lien pratique qui
mène à un formulaire Web, vous demandant vos coordonnées bancaires "à des fins
de vérification". Ne leur donnez pas vos coordonnées. Appelez plutôt votre banque,
car elle peut vouloir prendre des mesures concernant l'e-mail malveillant.
● Courriel d'un "ami". Cette arnaque prend la forme d'un ami connu qui a besoin de
votre aide. Cette "aide" consiste généralement à envoyer de l'argent. Par
conséquent, avant d'envoyer de l'argent à votre "ami", appelez-le d'abord pour
vérifier si c'est vrai ou non.
10. Phishing
Il est courant que les courriels de
phishing transmettent un sentiment
d'urgence. Le destinataire doit réagir
immédiatement.
Vérifiez toujours l'adresse électronique
de l'expéditeur. Elle doit provenir d'une
source connue et réputée. Faites
particulièrement attention à
l'orthographe, car elle peut être très
similaire à une adresse normale, à
quelques lettres près.
Le texte d'un courriel de phishing
contient normalement des fautes
d'orthographe et de grammaire.
En passant la souris sur les liens, vous
verrez apparaître le site web de
destination. Ne cliquez jamais avant de
vérifier qu'il s'agit d'une adresse fiable.
Au lieu de cliquer sur les liens, allez sur le site web de
l'entreprise ou ouvrez l'application et vérifiez l’information.
11. Phishing
Comment se protéger ?
Bien qu'il n'y ait pas de méthode infaillible pour prévenir le phishing, les
approches communes incluent :
● l'éducation des utilisateurs qui vise la sensibilisation au phishing.
● l'installation d'outils et de programmes anti-hameçonnage pour
protéger votre identité.
● l'introduction d'un certain nombre d'autres mesures de sécurité contre
le phishing qui visent à identifier de manière proactive les attaques de
phishing tout en fournissant des techniques d'atténuation des attaques
réussies.
12. Phishing
Formation des utilisateurs
Aujourd'hui, seulement 3% des malwares tentent d'exploiter une faille exclusivement
technique. Les 97% restants concernent le ciblage des utilisateurs via l'ingénierie
sociale (source KnowBe4),
13. Phishing
Formation des utilisateurs - Bon réflexes
- Contactez par un autre moyen de communication.
- Si cela semble trop beau pour être vrai, c'est probablement le cas.
- Ne donnez jamais d’informations à moins d’être 100% certain.
- Votre mot de passe ne doit pas être partagé.
En règle générale, ne cliquez jamais sur un lien ou n'ouvrez jamais un
document contenu dans un e-mail si vous n'êtes pas sûr de l'identité de
l'expéditeur.
14. Phishing
Formation des utilisateurs
Limitez les informations que vous publiez sur les sites de médias
sociaux et utilisez des profils privés. Ces informations peuvent
être utilisées par des ingénieurs sociaux pour élaborer des
attaques très sophistiquées. Des informations telles que :
● le rôle dans l'entreprise.
● nom du patron.
● l'adresse électronique.
● le numéro de téléphone.
● date de naissance.
● nom du partenaire.
● ce que vous aimez.
● temps et lieu de vacances.
Sont utilisées pour le Spear Phishing afin de simuler votre
identité et prendre le contrôle de vos comptes.
I don't know why
people are so
keen to put the
details of their
private life in
public;
they forget that
invisibility is a
superpower.
Bansky
15. Phishing
Outils anti-hameçonnage et mesures de sécurité
● Lorsque cela est possible, utilisez toujours l'authentification à deux
ou plusieurs facteurs.
● Utilisez un gestionnaire de mots de passe pour stocker en toute
sécurité le mot de passe que vous utilisez sur votre ordinateur, vos apps
et sur les sites web. Cette fonctionnalité est également proposée par les
navigateurs web. Elle peut également être utilisée pour suggérer des
mots de passe uniques et forts qui sont ensuite stockés dans le
référentiel du gestionnaire de mots de passe.
● N'utilisez jamais une connexion Wifi publique non protégée, car un
attaquant peut facilement installer un point d'accès "pirate" et renifler
tout le trafic qui y transite.
16. Phishing
Outils anti-hameçonnage et mesures de sécurité
● Ne croyez jamais qu'une personne qui vous appelle, vous envoie
un message ou un courriel est celle qu'elle prétend être. Avant
d'effectuer une quelconque action, appelez l'expéditeur pour vous
assurer de son identité et vérifier la demande.
● Installez un logiciel antivirus et assurez-vous que la base de
données des signatures est toujours mise à jour avec les dernières
signatures.
● Activez un filtre pour la navigation sur le web (DNS/filtrage de
contenu). Cette fonctionnalité peut être activée par les navigateurs
et elle fait également partie des programmes antivirus.
20. Cyber-escroqueries
L'escroquerie est définie comme un acte ou une opération frauduleuse ou
trompeuse. Différents canaux de diffusion utilisés conjointement :
● le message texte.
● courriel.
● internet.
● réseaux sociaux.
● applications mobiles.
● téléphone.
Au cours de la présentation, nous aborderons les différents types d'escroquerie
et leurs conséquences et nous décrirons les meilleures pratiques pour éviter de
se faire prendre.
21. Cyber-escroqueries
Les escroqueries les plus courantes :
● Arnaques liées au virus de la COVID-19.
● Arnaques à l'investissement. - CRYPTO
● Arnaques aux avances de fonds (également connues sous le nom de 419 ou
arnaques nigérianes).
● Les arnaques à la loterie.
● Arnaques aux rencontres et à l'amour.
● Achats en ligne, petites annonces et ventes aux enchères.
● Arnaques aux services bancaires, aux cartes de crédit et aux comptes en
ligne.
● Les escroqueries liées à l'emploi et au travail.
● Arnaques à l'assistance technique.
● Arnaques à la livraison.
● Fausses arnaques à la charité.
● Fausses offres d'emploi…...
22. Cyber-escroqueries
Escroqueries liées au coronavirus (COVID-19) - Les escrocs tentent de
profiter de l'inquiétude et de l'incertitude des gens face à la pandémie :
● la vente de faux produits tels que des masques, des suppléments, des
kits antivirus et des désinfectants, qui peuvent être dangereux ou qui
n'arrivent tout simplement jamais.
● de faux professionnels de la santé qui tentent d'accéder à votre
domicile en prétendant vous proposer un test de dépistage de la
COVID-19.
● des personnes prétendant appartenir à des organisations
caritatives et proposant de faire les courses ou d'effectuer des tâches
de nettoyage.
23. Cyber-escroqueries
● Escroqueries à l'avance (également connue sous le nom de 419 ou escroquerie
nigériane). Un escroc demande des frais d'avance ou des informations
personnelles en échange de biens, de services, d'argent ou de récompenses qu'il
ne fournit jamais. Les escrocs inventent des raisons convaincantes et
apparemment authentiques pour demander un paiement, par exemple pour
couvrir des frais ou des taxes.
● Escroqueries en matière d'investissement. La fraude en matière
d'investissement peut être sophistiquée et très difficile à repérer. Vous pouvez
recevoir des courriels ou des appels de sociétés qui proposent des
investissements promettant des rendements élevés. Les escrocs sont souvent
très éloquents et semblent bien informés sur le plan financier. L'offre est
généralement limitée dans le temps, avec un bonus si vous vous inscrivez. Leurs
sites Web et leurs brochures sont attrayants, avec des témoignages
impressionnants.
24. Cyber-escroqueries
● Les arnaques à la loterie - Un courriel ou un message texte provenant d'une
loterie étrangère arrive de nulle part. Il vous annonce que vous avez gagné
beaucoup d'argent ou des prix fantastiques dans une loterie à laquelle vous n'avez
pas participé. Ces arnaques tentent de vous inciter à donner de l'argent et vos
données personnelles pour recevoir le prix.
● Arnaques aux rencontres et à l'amour - Les escrocs utilisent des sites de
rencontres, des réseaux sociaux et des salons de discussion pour obtenir des
informations personnelles et/ou de l'argent.
● Escroqueries liées aux achats en ligne, aux petites annonces et aux ventes aux
enchères - Le fait de ne pas recevoir ce pour quoi vous avez payé est une
escroquerie courante visant les acheteurs en ligne. Un escroc vend un produit et
envoie un article défectueux ou de qualité inférieure, voire rien du tout. Il peut
également prétendre vendre un produit dans le seul but de recueillir des
informations sur la carte de crédit ou le compte bancaire.
25. Cyber-escroqueries
● Escroqueries concernant les banques, les cartes de crédit et les
comptes en ligne - Les escrocs envoient des courriels ou des SMS qui
semblent provenir de votre banque, d'un établissement financier ou
d'un service de paiement en ligne. Ils prétendent généralement qu'il y
a un problème avec votre compte et vous demandent de vérifier vos
coordonnées sur une copie fausse mais convaincante du site web de
la banque.
● Escroqueries liées à l'emploi - Ces escroqueries consistent à
proposer de travailler à domicile ou de créer et d'investir dans une
opportunité commerciale. Les escrocs promettent un emploi, un
salaire élevé ou un retour sur investissement important après un
versement initial.
26. Cyber-escroqueries
● Les escroqueries au support technique - Les escrocs peuvent vous appeler
directement au téléphone et se faire passer pour des représentants d'une
société de technologie. Ils affirment avoir trouvé un problème sur votre
ordinateur et vous proposent de le résoudre contre un paiement. Les escrocs
peuvent également établir le contact en affichant de faux messages d'erreur
sur les sites Web que vous visitez, en affichant des numéros d'assistance et en
vous incitant à appeler.
● Arnaques à la livraison - Les escrocs ciblent les internautes en envoyant des
courriels et des SMS qui se font passer pour des sociétés de livraison. Ils
prétendent généralement qu'il y a un problème avec la livraison d'un colis et
vous demandent de vérifier des informations privées et les détails de votre
carte de crédit pour "reprogrammer" la livraison. Si le destinataire fournit des
informations personnelles par téléphone ou par courriel, les cybercriminels les
voleront pour commettre une fraude d'identité ou financière.
27. Cyber-escroqueries
● Les escroqueries aux fausses œuvres de bienfaisance - Les
escrocs tentent de collecter de l'argent en prétendant travailler pour
une cause ou une œuvre de bienfaisance légitime, ou pour une œuvre
fictive qu'ils ont créée. Les escrocs exploitent souvent une
catastrophe naturelle ou une crise récente qui a fait la une des
journaux.
● Fausses offres d'emploi - Les escrocs publient des offres d'emploi de
la même manière que les employeurs légitimes le font en ligne (dans
des annonces, sur des sites d'emploi et dans les médias sociaux). Ils
promettent un emploi et demandent une avance pour des kits de
démarrage, une "formation" ou des certifications.
28. Comment se protéger ?
● Lorsque vous recevez des contacts non sollicités de la part de personnes ou
d'entreprises, que ce soit par téléphone, par courrier électronique ou sur un site
de réseau social, envisagez toujours la possibilité qu'il s'agisse d'une
escroquerie. Si cela semble trop beau pour être vrai, c'est probablement le
cas.
● Toujours être vigilant et prendre du temps avant d'agir/de cliquer.
● Ne croyez jamais aux courriels ou aux messages inattendus et vérifiez
directement auprès de l'expéditeur supposé en utilisant un autre canal
● N'ouvrez pas les textes suspects, les fenêtres pop-up ou ne cliquez pas sur les
liens ou les pièces jointes des courriels - supprimez-les : En cas de doute, vérifiez
l'identité du contact auprès d'une source indépendante. N'utilisez pas les
coordonnées fournies dans le message qui vous a été envoyé.
Cyber-escroqueries
29. Cyber-escroqueries
● Faites des recherches en ligne pour vérifier la réputation d'un
site web, surtout si les offres sont trop belles pour être vraies.
● Ne versez jamais d'argent à l'avance, pour quelque raison
que ce soit, pour un emploi, pour les taxes à l'importation ou
les douanes, pour un prix. Les escrocs inventeront sans cesse
de nouvelles raisons pour justifier leur besoin d'argent.
● Ne payez jamais quelqu'un avec une carte cadeau ou en
utilisant un service de transfert d'argent. Et ne déposez jamais
un chèque pour envoyer de l'argent à quelqu'un.
30. Cyber-escroqueries
● Sachez à qui vous avez affaire. Si vous n'avez rencontré quelqu'un
qu'en ligne ou si vous n'êtes pas certain de la légitimité d'une
entreprise, prenez le temps de faire des recherches plus approfondies.
● Ne donnez pas vos informations personnelles ou financières. Les
organisations légitimes ne vous appelleront pas, ne vous enverront pas
de courriel ou de message pour vous demander vos informations
personnelles, votre compte bancaire ou votre numéro de carte de
crédit.
33. Phishing
Les cybercriminels créent de faux
comptes de médias sociaux
d'entreprises, notamment de banques,
sur Twitter, Facebook ou Instagram.
Lorsque les utilisateurs cherchent à
obtenir de l'aide en contactant les
entreprises par le biais de leurs comptes
de médias sociaux, ils sont capturés par
les cybercriminels qui supplantent
l'identité de l'entreprise.
Le criminel convainc le client de suivre
des étapes spécifiques pour être redirigé
vers des sites de phishing où la fraude
se produit.
34. Phishing
Le spear phishing est une méthode d'hameçonnage qui cible des individus ou des
groupes spécifiques au sein d'une organisation. Il s'agit d'une variante puissante du
phishing, une tactique malveillante qui utilise les e-mails, les médias sociaux, la
messagerie instantanée et d'autres plateformes pour amener les utilisateurs à
divulguer des informations personnelles ou à effectuer des actions qui entraînent une
compromission du réseau, une perte de données ou une perte financière.
Alors que les tactiques de phishing reposent sur l'envoi massif d'e-mails à des
individus choisis au hasard, le spear phishing se concentre sur des cibles
spécifiques et implique une recherche préalable.
Le spear phishing est généralement utilisé dans des campagnes d'attaque ciblées
pour accéder au compte d'une personne ou se faire passer pour une personne
spécifique. Les attaquants par spear phishing effectuent des méthodes de
reconnaissance avant de lancer leurs attaques.
35. Phishing
Le whaling est similaire à une attaque de spear
phishing et vise les cadres supérieurs. Il s'appuie
sur l'ingénierie sociale et vise à encourager les
victimes à effectuer une action secondaire, telle
que l'initiation d'un transfert de fonds.
Les courriels de whaling sont plus sophistiqués
que les courriels de phishing génériques car ils
ciblent souvent les cadres supérieurs ("c-level")
et, généralement, ils :
● contiennent des informations personnalisées
sur l'organisation ou la personne ciblée.
● transmettent un sentiment d'urgence.
● sont rédigés avec une solide compréhension
du langage et du ton des affaires.
36. Phishing
Le vishing désigne les attaques de phishing qui impliquent l'utilisation d'appels
vocaux, par le biais de systèmes téléphoniques classiques ou de systèmes de
voix sur IP (VoIP).
Il peut également être utilisé en conjonction avec le spear phishing ou le whaling
pour corroborer la demande et rendre la victime plus confiante car elle a eu une
interaction dans le "monde réel".
37. Phishing
Le smishing est une forme d'hameçonnage dans laquelle un attaquant utilise un
SMS pour inciter les destinataires ciblés à cliquer sur un lien et à envoyer à l'attaquant
des informations privées ou à télécharger des programmes malveillants sur un
smartphone.
Selon MobileMarketer.com, alors que les destinataires de courriels n'ouvrent
qu'environ 20 % de leurs messages, les destinataires de SMS ouvrent 98 % de leurs
textes.
Par conséquent, les grandes marques utilisent de plus en plus les SMS plutôt que
l'e-mail pour des choses comme les messages marketing, la vérification des
expéditions et les notifications de compte. À cela s'ajoute la préférence pour le
SMS en tant que canal d'authentification multifactorielle, ce qui signifie que de
nombreux utilisateurs de téléphones portables ont l'habitude d'interagir avec des
messages textuels pendant le processus de connexion de nombre de leurs comptes
en ligne, de détail et bancaires.
38. Phishing
L'Angler phishing (hameçonnage sur les
médias sociaux) est un type spécifique
d'attaque de phishing qui existe sur les
médias sociaux. Contrairement au phishing
traditionnel, qui consiste à envoyer des
courriels usurpant le nom d'organisations
légitimes, les attaques de Angler phishing
sont lancées à l'aide de faux comptes
d'entreprise sur les médias sociaux.
Les organisations utilisent de plus en plus les
médias sociaux pour interagir avec leurs
clients, que ce soit à des fins de marketing et
de promotion ou pour offrir un moyen simple
aux clients de poser des questions ou de
déposer des plaintes.