Méfiez-vous du phishing bancaire

0
322

Le phishing bancaire demeure une tactique d’attaque majeure pour les cybercriminels. Selon l’ENISA, 60 % des brèches ayant eu lieu en 2022 en région EMEA comportent ainsi un élément d’ingénierie sociale, soit une manipulation des individus à des fins d’escroquerie, malgré le développement des initiatives de conseils et d’éducation pour les victimes potentielles. 

Tribune – Pour David Higgins, directeur technique chez CyberArk, si la sensibilisation des utilisateurs à ces risques est essentielle, elle nécessite une vigilance de tous les instants car les cybercriminels s’adaptent aux cyber-pratiques.

« Il est louable de sensibiliser aux risques des escroqueries bancaires, mais cette initiative crée un scénario de phishing à privilégier pour les hackers, comme l’a reconnu la police. Les directives des forces de l’ordre précisent directement les informations requises pour que ces messages soient légitimes, ce qui signifie que les fraudeurs savent exactement ce qu’il faut faire pour que leurs messages paraissent authentiques. C’est pourquoi les destinataires doivent rester vigilants, surtout s’il s’agit d’un premier message provenant d’un numéro ou d’une organisation particulière, afin d’éviter toute tentative de vol. Les cyberattaquants sont innovants, compétents et opportunistes. Ainsi, les liens web des SMS et emails peuvent être écourtés ou modifiés de manière à rediriger les victimes imprudentes ou malchanceuses vers un site web répliqué, à partir duquel des logiciels malveillants peuvent être lancés ou des données personnelles précieuses obtenues. 

Il est donc nécessaire de toujours réfléchir avant de cliquer. Les URL courtes ou usurpées peuvent corrompre les données personnelles en un simple clic, et sans saisie aucune. La vérification de l’URL est par conséquent essentielle, avant toute action à son encontre. Si elle semble suspecte, mal orthographiée ou ne correspond pas à l’organisation mentionnée, il faut l’éviter. Deuxièmement, il faut toujours rester sur les sentiers battus : si l’URL invite à télécharger une application, cela est suspect, et passer par un App Store ou un Play Store officiel est toujours à privilégier. Il est en effet facile pour les cybercriminels de créer un lien malveillant, qui amène la victime à télécharger une application illégitime. Cette technique permet également aux attaquants d’accéder non seulement à l’appareil, mais aussi à tous les messages personnels (ou confidentiels de l’entreprise), à la position GPS et même à l’appareil photo.

Comme pour toute attaque qui exploite la naïveté des utilisateurs, le meilleur conseil est de se fier à son instinct. Les utilisateurs ont ainsi appris à réfléchir à deux fois avant de donner suite à des emails, des appels ou des SMS suspects, car ils soupçonnent naturellement un but caché et malveillant. Il est désormais essentiel d’appliquer la même logique aux URL pour préserver la sécurité de l’identité numérique. Et si la victime n’est pas sûre de la légitimité de la communication reçue, le plus sûr est d’ouvrir son propre navigateur et de rechercher par soi-même sur le site de Signal Spam ou de les appeler. »