Télétravailleurs, gare aux cybercriminels
La crise sanitaire contraint bon nombre d’entre nous au télétravail depuis plusieurs mois, une aubaine pour les cybercriminels. Le “vishing” est une de leurs stratégies. “Ce type d’escroc paraît souvent très crédible”, prévient Christof Jacques de la société spécialisée en cybersécurité Check Point.
Le vishing (contraction de voice et phishing) ou hameçonnage par téléphone est une forme d’escroquerie par laquelle le pirate utilise le nom de collègues ou de partenaires professionnels afin de soutirer des informations sensibles ou financières. Ils volent ou bloquent des données bancaires, l’accès au système de facturation, les mots de passe d’applications ou des données qu’ils échangent contre rançon. C’est ce qu’on appelle le ransomware ou rançongiciel dans le jargon. Ils peuvent aussi extorquer des justificatifs d’identité pour les revendre à des tiers.
Ils commencent par envoyer un courrier. Ils l’envoient aussi par mail, puis téléphonent pour régler le paiement. Et cela afin de rendre le scénario plus crédible.”
Christof Jacques (Check Point)
Les escrocs se font généralement passer pour un employé de la société, un collaborateur du service financier, RH ou juridique, voire le CEO. “Comme ils parlent néerlandais, français ou anglais sans accent et disposent de nombreuses informations sur un collaborateur ou l’entreprise, ils paraissent souvent parfaitement crédibles”, constate Christof Jacques, expert en sécurité chez Check Point, fournisseur mondial de solutions de cybersécurité pour sociétés publiques et privées. Les appelants suivent un scénario minutieusement élaboré. Les informations utilisées dans le cadre de l’escroquerie téléphonique proviennent généralement de sources internet accessibles au grand public.
“Nombreux sont ceux qui étalent leur vie privée sur les réseaux sociaux, réagissent aux événements et aux annonces sur LinkedIn, racontent leur vie personnelle et professionnelle sur des blogs”, ajoute Christof Jacques. Les contacts professionnels et les noms des collègues sont facilement récupérables sur ces sites.
Toutes les entreprises, petites et grandes
La moindre inattention est du pain bénit pour les cybercriminels en quête d’informations qui n’hésitent pas à s’en prendre même aux entreprises les mieux cyberprotégées. L’homme est le maillon le plus faible. L’été dernier, un hameçonneur téléphonique a réussi à convaincre plusieurs employés du réseau social Twitter de lui donner accès au logiciel interne. Le pirate a ainsi eu la mainmise sur des dizaines de comptes célèbres, dont celui de Barack Obama, Joe Biden, Jeff Bezos et Elon Musk. Des tweets piratés incitaient leurs followers à transférer des bitcoins vers une adresse précise en leur faisant miroiter de plus gros bénéfices. Les criminels ont ensuite redirigé l’argent sur leur propre compte. Ils ont ainsi réussi à engranger plusieurs centaines de milliers de dollars en quelques heures.
Les petites entreprises sont, elles aussi, victimes de cyberattaques parfaitement coordonnées. Privés de contacts réguliers avec leurs collègues, les télétravailleurs se font plus facilement escroquer par hameçonnage téléphonique. Check Point enregistre une recrudescence du nombre de cyberincidents signalés par les télétravailleurs. “Certains criminels utilisent plusieurs techniques conjointement ou coordonnent leurs attaques à des stades différents, explique Christof Jacques. Ils commencent, par exemple, par envoyer un courrier comme une facture. Ils l’envoient aussi par mail puis téléphonent pour régler le paiement ou le traitement ultérieur du document. Ou ils envoient un mail, puis un SMS avant d’appeler. Et cela afin de rendre le scénario plus crédible.”
L’hameçonnage téléphonique cache différents profils de criminels, de l’étudiant expérimenté au réseau international hyper- organisé qui recrute ses appelants locaux sur les forums internet illégaux ou font appel à des call-centers véreux spécialisés.
Lire aussi: 2021 sera l’année du ‘ransomware 2.0’
Rafraîchir la mémoire
Les travailleurs – et a fortiori les télétravailleurs – doivent apprendre à ne pas partager trop d’informations et à vérifier systématiquement l’identité des personnes qui les appellent, insiste Christof Jacques. “Ce genre d’escroquerie persistera tant qu’il sera possible de se faire de l’argent”, dit-il. Les nouveaux collaborateurs sont une proie facile pour les hameçonneurs téléphoniques. Ils ne connaissent pas tous leurs collègues et sont contactés par de nombreuses personnes qui disent faire partie du personnel de l’entreprise mais qu’ils n’ont pas encore rencontrées, du service technique par exemple.
Une fois le vol de données ou d’argent perpétré, le dommage est irréparable. La seule façon pour l’entreprise de limiter les dégâts consiste à modifier le plus possible de mots de passe et de signaler le délit. Pour réduire au maximum les risques d’hameçonnage par téléphone, la société doit sensibiliser ses collaborateurs à la cybersécurité. Le simple fait de communiquer sur les pratiques de vishing permet de conscientiser le personnel. Encore faut-il lui rappeler régulièrement les risques. “Les entreprises doivent constamment rafraîchir la mémoire de leurs employés. C’est la meilleure façon de prévenir le vishing“, conclut Christof Jacques. Certaines entreprises vont même jusqu’à simuler une attaque de hameçonnage téléphonique pour tester la vigilance de leurs collaborateurs.
5 conseils pour se prémunir du “vishing”
- Ne partagez pas trop: ne divulguez jamais d’informations personnelles ou les coordonnées de collègues par téléphone à moins d’être absolument sûr de l’identité de votre interlocuteur. Soyez particulièrement vigilant lorsqu’il s’agit de renseignements détaillés relatifs à un paiement.
- Vérifiez l’authenticité: vous doutez de l’identité de l’appelant? Demandez son numéro de téléphone en promettant de rappeler plus tard, ce qui vous laisse le temps de vérifier ledit numéro, en ligne ou auprès d’un collègue.
- N’activez jamais de virement par téléphone: ne donnez jamais suite aux requêtes d’un appelant invitant à effectuer des transferts ou des paiements virtuels par téléphone.
- Soyez vigilant: plus vous vous montrerez méfiant vis-à-vis de ce genre d’arnaque, moins vous risquerez d’en être victime. Soyez donc constamment sur vos gardes.
- Signalez les appels et les mails douteux: signalez immédiatement les appels qui vous semblent suspects et les tentatives de fraude, aussi bien en interne qu’auprès de votre organisme financier le cas échéant, ainsi que sur le site public Federal Cyber Emergency Team (www.cert.be).
Un article de Dimitri Dewever.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici