Il y a quelques jours, les autorités américaines ont publié une alerte mettant en garde les internautes contre de possibles escroqueries exploitant des tragédies ou des catastrophes faisant l’actualité.
Tribune Barracuda Networks – Depuis quelques temps, des cybercriminels utilisent souvent de tels événements pour jouer sur la sympathie du public et solliciter des dons à de fausses organisations « charitable ». En dehors de l’extorsion elle-même, ces arnaques peuvent aussi permettre aux criminels d’obtenir des informations personnelles, des identifiants de connexion ou encore d’installer un malware sur un PC ou un téléphone mobile.
Des dizaines d’attaques de ce genre ont été observées dans le sillage de catastrophes ou d’événements tragiques. Des tremblements de terre, des tsunamis, des attentats à la bombe et même la mort de célébrités ont été utilisées par les criminels. Et ceux-ci ne se limitent pas aux tragédies. Des événements politiques majeurs, des célébrations et des problèmes économiques sont également exploités. Tous les prétextes possibles sont utilisés pour capturer dans leurs filets un maximum de victimes.
En tant que spécialiste de la sécurité, Barracuda conseille toujours aux entreprises d’utiliser un système de défense multicouche pour protéger leurs réseaux et leurs utilisateurs contre des attaques de ce type. Lorsqu’elles sont combinées avec une formation continue des utilisateurs aux bonnes pratiques, des technologies telles que l’intelligence artificielle et DMARC (Domain based Message Athentication, Reporting and Conformance) sont des solutions efficaces pour les prévenir.
Dans le cadre de la formation des utilisateurs, les autorités américaines recommandent les mesures suivantes pour prévenir les attaques de « phishing » et d’ingénierie sociale :
- Méfiez-vous d’appels téléphoniques non sollicités, de visites ou de messages email émanant d’individus demandant des informations sur l’entreprise ou ses employés. Si une personne inconnue affirme être employée d’une organisation légitime, tâchez de vérifier son identité en contactant l’entreprise concernée.
- Ne divulguez aucune information personnelle ou sur votre organisation, y compris sa structure ou ses réseaux, à moins d’être certain de l’autorisation du demandeur à obtenir ces informations.
- Ne révélez aucune information personnelle ou financière par email, et ne répondez à aucune sollicitation par email pour obtenir ces informations. Ceci inclut la connexion à des liens envoyés par email.
- N’envoyez aucune information sensible via le web avant de vérifier le niveau de sécurité du site web de destination.
- Faites attention à l’URL des sites web. Des sites frauduleux peuvent sembler identiques à leur site légitime, mais leur URL peut utiliser une orthographe ou un nom de domaine différent (par exemple .com au lieu de .net).
- Si vous n’êtes pas sûr de la légitimité d’une demande par email, tâchez de la vérifier en contactant directement l’entreprise émettrice. N’utilisez pas d’informations de contact fournies par un site web connecté à la demande.
- Installez et maintenez à jour un logiciel antivirus, des firewalls et des filtres email pour éliminer une partie de ce trafic, et profitez de toutes les fonctions « anti phishing » fournies par votre client email et votre navigateur web.