De nouvelles escroqueries par e-mail trompent même les experts en cybersécurité

Nous aimons tous penser que nous sommes à l’abri des escroqueries. Nous nous moquons des e-mails d’un expéditeur inconnu qui nous propose 2 millions de livres sterling en échange de nos coordonnées bancaires. Mais le jeu a changé et les escrocs ont développé de nouvelles tactiques effrayantes. Ils adoptent une approche personnelle et parcourent Internet pour tous les détails qu’ils peuvent trouver sur nous.

Les escrocs deviennent si doués que même la cyber-sécurité les experts sont pris en charge.

L’un d’entre nous (Oliver Buckley) se souvient qu’en 2018, il a reçu un e-mail du pro-vice-chancelier de son université.

C’est ça, pensai-je. J’obtiens enfin la reconnaissance des gens au sommet. Quelque chose n’allait pas, cependant. Pourquoi le pro-vice-chancelier utilisait-il son adresse Gmail ? J’ai demandé comment je pouvais me rencontrer. Il avait besoin que je lui achète pour 800 £ de cartes-cadeaux iTunes, et tout ce que j’avais à faire était de gratter le dos et de lui envoyer le code. Ne voulant pas le laisser tomber, j’ai proposé de me rendre au bureau de son assistant et de lui prêter le billet de 5 £ que j’avais dans mon portefeuille. Mais je n’ai jamais eu de nouvelles de lui.

L’infâme « prince du Nigéria« les e-mails ne sont plus à la mode. Au lieu de cela, les escrocs parcourent des médias sociaux, en particulier ceux liés aux entreprises comme LinkedIn, pour cibler les personnes avec des messages personnalisés. La force d’une relation entre deux personnes peut être mesurée en inspectant leurs publications et leurs commentaires. Dans le premier trimestre 2022LinkedIn représentait 52 % de toutes les escroqueries par hameçonnage dans le monde.

Tendances humaines

Les psychologues qui font des recherches obéissance à l’autorité savons que nous sommes plus susceptibles de répondre aux demandes de personnes plus haut placées dans nos hiérarchies sociales et professionnelles. Et les fraudeurs le savent aussi.

Les escrocs n’ont pas besoin de passer beaucoup de temps à rechercher des structures d’entreprise. « Je suis à la conférence et mon téléphone n’a plus de crédit. Pouvez-vous demander à XXX de m’envoyer le rapport XXX ? » exécute un message d’escroquerie typique.

Données de Navigation sécurisée Google montre qu’il y a maintenant près de 75 fois plus de sites de phishing que de sites de logiciels malveillants sur Internet. Près de 20 % de tous les employés sont susceptibles de cliquer sur des liens d’e-mails de phishing, et parmi ceux-ci, 68 % d’entre eux saisissent leurs informations d’identification sur un site Web de phishing.

Globalementles spams par e-mail coûtent aux entreprises près de 20 milliards de dollars américains (17 milliards de livres sterling) chaque année. Consultant d’entreprise et auditeur fiscal Recherche BDO a constaté que six entreprises de taille moyenne sur dix au Royaume-Uni ont été victimes de fraude en 2020, subissant des pertes moyennes de 245 000 £.

Les cibles sont normalement choisies en fonction de leur rang, de leur âge ou de leur statut social. Parfois, le spam fait partie d’un cyberattaque coordonnée contre une organisation spécifique afin que les cibles soient sélectionnées si elles travaillent ou ont des liens avec cette organisation.

Les fraudeurs utilisent des robots spammeurs pour interagir avec les victimes qui répondent au premier e-mail de crochet. Le bot utilise des informations récentes de LinkedIn et d’autres plateformes de médias sociaux pour gagner la confiance de la victime et l’inciter à donner des informations précieuses ou à transférer de l’argent. Cela a commencé au cours des deux à trois dernières années avec l’ajout de chatbots aux sites Web pour augmenter les interactions avec les clients. Des exemples récents incluent le Escroquerie par chatbot Royal Mail, DHL Expresset Facebook Messenger. Malheureusement pour le public, de nombreuses entreprises proposent des services gratuits et payants pour construire un chatbot.

Et des solutions plus techniques sont disponibles pour les escrocs ces jours-ci pour dissimuler leur identité, comme l’utilisation de canaux de communication anonymes ou de fausses adresses IP.

Les médias sociaux permettent aux escrocs de créer plus facilement des e-mails crédibles appelés harponnage. Les données que nous partageons chaque jour donnent aux fraudeurs des indices sur nos vies qu’ils peuvent utiliser contre nous. Cela peut être quelque chose d’aussi simple qu’un endroit que vous avez récemment visité ou un site Web que vous utilisez. Contrairement au phishing général (grand nombre de spams), cette approche nuancée exploite notre tendance à attacher de l’importance à des informations qui ont un lien avec nous. Lorsque nous vérifions notre boîte de réception complète, nous choisissons souvent quelque chose qui touche une corde sensible. C’est ce qu’on appelle en psychologie la corrélation illusoire: voir les choses comme liées alors qu’elles ne le sont pas.

Comment se protéger

Même si vous êtes tenté de appâtez les escrocs par e-mail, ne le faites pas. Le simple fait de confirmer que votre adresse e-mail est utilisée peut faire de vous une cible pour de futures escroqueries. Il y a aussi un élément plus humain dans ces escroqueries par rapport à l’approche du bombardement général que les escrocs ont privilégiée au cours des deux dernières décennies. C’est étrangement intime.

Un moyen simple d’éviter d’être trompé est de revérifier les détails de l’expéditeur et les en-têtes d’e-mail. Pensez aux informations qui pourraient être disponibles à votre sujet, pas seulement à ce que vous recevez et de qui. Si vous avez un autre moyen de contacter cette personne, faites-le.

Nous devons tous être prudents avec nos données. La règle d’or est que si vous ne voulez pas que quelqu’un le sache, ne le mettez pas en ligne.

Plus la technologie est avancée, plus il est facile d’adopter une approche humaine. La technologie d’appel vidéo et les applications de messagerie vous rapprochent de vos amis et de votre famille. Mais c’est donner aux gens qui vous feraient du mal une fenêtre sur votre vie. Nous devons donc utiliser nos défenses humaines : l’instinct. Si quelque chose ne va pas, faites attention.

Cet article de Gareth Norrismaître de conférences, Département de psychologie, Université d’Aberystwyth; Max Eizamaître de conférences en sécurité informatique, Université John Moores de Liverpoolet Olivier BuckleyProfesseur associé en cybersécurité, Université d’East Anglia est republié de La conversation sous licence Creative Commons. Lis le article original.