Comment reconnaître et prévenir l’hameçonnage par courriel, le clonage vocal et l’hameçonnage par texto

Google bloque 100 millions de pourriels par jour

En cette période de l’année, nous sommes presque parvenus à la moitié de 2024. Et pourtant, l’hameçonnage par courriel, le clonage vocal et l’hameçonnage par texto restent les principaux vecteurs d’attaque produisant des violations de données et autres cyberincidents dénoncés dans le monde entier! En réalité, selon Google, TensorFlow permet à l’entreprise technologique d’empêcher 100 millions de pourriels incluant des courriels d’hameçonnage – d’atteindre quotidiennement les boîtes de réception des utilisateurs de Gmail et des utilisateurs du navigateur Web Google Chrome¹.

Dans cette perspective, nous consacrons cette infolettre à mieux comprendre les enjeux relatifs à l’hameçonnage par courriel, au clonage vocal et à l’hameçonnage par texto, et comment bénéficier des actions de précaution pour les détecter et les prévenir.

[1] Google Workspace. Neil Kumaran, Group Product Manager – Gmail Security & Trust.Spam Does Not Bring Us Joy – Riding Gmail of 100 Million More Spam Messages with TensorFlow, 6th February 2019. https://workspace.google.com/blog/product-announcements/ridding-gmail-of-100-million-more-spam-messages-with-tensorflow

L’hameçonnage comme attaque de piratage psychologique

De nos jours, tout le monde sait probablement ce qu’est l’hameçonnage, n’est-ce pas ? Au cas où vous ne le savez pas, rappelons-le en répétant sa courte définition. Les attaques d’hameçonnage sont des attaques de piratage psychologique dans lesquelles la victime cible est contactée via :

• Courriel (hameçonnage par courriel),
• Téléphone intelligent ou téléphone cellulaire (clonage vocal), ou
• Messagerie texte – service de SMS (hameçonnage par texto)

Par quelqu’un qui se fait passer pour un collègue, une organisation, une institution, un organisme gouvernemental ou une entreprise légitime, et qui tente d’inciter ou de tromper cette victime cible en lui faisant fournir des :

• Renseignements d’accès/autorisations,
• Données personnelles/renseignements personnels identifiables (RPI),
• Données confidentielles ou sensibles.

Dans le cadre d’une attaque classique d’hameçonnage, les fraudeurs envoient entre autres de faux courriels à des milliers de personnes, en leur demandant des renseignements confidentiels (tels que des coordonnées bancaires) ou en ajoutant des hyperliens vers des sites Web nuisibles. Ils peuvent essayer de vous piéger à envoyer de l’argent, de voler vos renseignements personnels pour les vendre ailleurs, ou encore avoir des motivations politiques ou idéologiques pour accéder aux informations de votre PME. Les hameçonnages par courriel sont de plus en plus difficiles à détecter, et certains resteront ignorés, même par les utilisateurs les plus attentifs. Quelles que soient les activités de votre PME, quelle que soit sa taille, partout où elle fait des affaires, vous finirez par être la cible des attaques d’hameçonnage à un moment ou à un autre.

L’un des principaux objectifs des attaques d’hameçonnage est d’inciter la cible à cliquer RAPIDEMENTsur les hyperliens ! Et par RAPIDEMENT, nous voulons dire sans trop réfléchir. Pour ce faire, les acteurs de la menace s’appuient sur une dimension physique très simple du cerveau humain. Sous réserve d’un certain stimulus, nous avons tendance à passer en « mode lézard » et à agir de manière impulsive en raison de la peur.

C’est la raison pour laquelle tant de messages d’hameçonnage concernent des alertes prétendant provenir de votre fournisseur de services de messagerie électronique tels que Microsoft 365 et Google Workspace, vous informant d’un problème de sécurité de votre compte, de votre banque (nom de votre institution bancaire) au sujet d’une transaction frauduleuse ou d’une restriction de compte, d’un service de livraison de colis bien connu à propos d’une livraison manquée en raison d’une adresse incorrecte, etc. Un schéma couramment utilisé ici induit la peur d’être bloqué de votre propriété numérique, de votre propriété financière, de vos habitudes de consommation.

Compositions grammaticales inhabituelles

De nombreuses tentatives d’hameçonnage par courriel ne sont pas correctement rédigées, contiennent des fautes typographiques, des modifications de polices de caractère et des compositions grammaticales inhabituelles. Il existe plusieurs théories à ce sujet. La théorie principale est que les malfaiteurs tentent d’éviter d’être détectés par les systèmes de sécurité de la messagerie électronique, employant ainsi divers stratagèmes pour rendre le texte final de manière lisible tout en le dissimulant aux moteurs d’analyse de texte. Une autre théorie est que les acteurs de la menace commettent des erreurs intentionnelles, qui seront repérées par la plupart des individus, mais pas par les moins prudents, augmentant ainsi les chances de réussite de leur récolte.

Inspection des courriels hameçons

L’une des choses les plus simples à faire est de vérifier l’adresse réelle de l’expéditeur, et non le champ affiché « De : ». La plupart des logiciels clients de messagerie ont malheureusement tendance à le cacher. Gardez à l’esprit que le champ « De : » peut être totalement modifié par l’expéditeur. Cela n’est absolument pas digne de confiance! Point à la ligne! La vérification de l’adresse courriel du véritable expéditeur varie selon le client de messagerie.

Six signes symptomatiques de messages d’hameçonnage par courriel¹

L’hameçonnage par courriel est une forme de cybercriminalité populaire en raison de son efficacité. Les cybercriminels ont réussi à utiliser des courriels, des textos et des messages directs sur les réseaux sociaux ou dans les jeux vidéo pour inciter les gens à répondre avec leurs renseignements personnels. La meilleure défense est d’être conscient et de savoir quoi rechercher.

Voici des moyens de reconnaître un hameçonnage par courriel :

1. Incitation à une action urgente ou menaces – méfiez-vous toujours des courriels et des messages de Microsoft Teams qui prétendent que vous devez cliquer, appeler ou ouvrir une pièce jointe immédiatement. Souvent, ils prétendent que vous devez agir maintenant pour demander une récompense ou éviter une pénalité. Créer un faux sentiment d’urgence est une duperie fréquemment déployée dans les attaques d’hameçonnage par courriel et les escroqueries. Les malfaiteurs font cela pour que vous n’y pensiez pas trop ou que vous ne consultiez pas un conseiller de confiance qui pourrait vous avertir.
2. Expéditeurs pour la première fois, peu fréquents ou expéditeurs identifiés [Externes] – Bien qu’il ne soit pas inhabituel de recevoir un courriel ou un message Microsoft Teams de quelqu’un pour la première fois, surtout s’il se trouve en dehors de votre organisation, cela peut être un signe d’hameçonnage par courriel. Ralentissez-vous et soyez particulièrement prudent à ces moments-là. Lorsque vous recevez un courriel ou un message Microsoft Teams d’une personne que vous ne reconnaissez pas, ou qu’Outlook ou Microsoft Teams identifie comme un nouvel expéditeur, prenez le temps de l’examiner très attentivement en utilisant quelques-unes des mesures ci-dessous.
3. Orthographe et mauvaise grammaire – les entreprises et organisations professionnelles disposent généralement d’une équipe éditoriale et de rédaction pour garantir que les clients obtiennent un contenu professionnel de haute qualité. Si un message électronique contient des erreurs évidentes d’orthographe ou de grammaire, il peut s’agir d’une arnaque. De telles erreurs sont parfois le résultat d’une traduction maladroite à partir d’une langue étrangère, et parfois elles sont délibérées dans le but d’échapper aux filtres qui tentent de bloquer de telles attaques.
4. Salutations génériques – une organisation qui travaille avec vous devrait connaître votre nom et, de nos jours, il est facile de personnaliser un courriel. Si le courriel commence par un générique « Cher monsieur ou madame », c’est un signe d’avertissement qu’il ne s’agit peut-être pas vraiment de votre banque ou du site Web où vous faites vos achats.
5. Domaines incompatibles de messagerie par courriel – si le courriel prétend provenir d’une entreprise réputée, comme Microsoft ou votre banque, mais que ce courriel est envoyé à partir d’un autre domaine de messagerie par courriel comme Gmail.com ou microsoftsupport.ru, il s’agit probablement d’une arnaque. Faites également attention aux fautes d’orthographe très subtiles du nom de domaine légitime. Par exemple : micros0ft.com ou le deuxième « o » a été remplacé par un zéro (0), ou rnicrosoft.com, où le « m » a été remplacé par un « r » et un « n ». Ce sont supercheries courantes utilisées par les escrocs.
6. Hyperliens suspects ou pièces jointes inattendues – si vous pensez qu’un message électronique ou un message dans Microsoft Teams est une arnaque, n’ouvrez aucun hyperlien ou pièces jointes que vous voyez. Passez plutôt votre souris sur l’hyperlien, mais ne cliquez passur le l’hyperlien en question. Regardez l’adresse qui apparaît lorsque vous survolez l’hyperlien. Demandez-vous si cette adresse correspond à l’hyperlien saisi dans le message. Dans l’exemple suivant, le fait de passer la souris sur l’hyperlien révèle la véritable adresse Web dans la case en toile de fond jaune. La chaîne de chiffres ne ressemble en rien à l’adresse Web de l’entreprise.

[1] Cette section est une synthèse des recommandations faites par Microsoft Tech Support. Protégez-vous contre l’hameçonnage par courriel.
N.B. : site Internet disponible en anglais uniquement. https://support.microsoft.com/en-us/windows/protect-yourself-from-phishing-0c7ea947-ba98-3bd9-7184-430e1f860a44

Détection et prévention des cyberattaques d’hameçonnage par courriel¹

1. Configurez les comptes pour réduire l’impact des attaques réussies d’hameçonnage

Vous devez configurer vos comptes des employés à l’avance en utilisant le principe du moindre privilège. Cela signifie donner à vos employés le niveau le plus bas de droits d’utilisateur requis pour effectuer leurs travaux, de sorte que s’ils sont victimes d’une attaque d’hameçonnage par courriel, les dommages potentiels seront réduits. Pour réduire davantage les dommages pouvant être causés par des logiciels malveillants ou la perte d’informations de connexion, assurez-vous que votre personnel interne utilise un compte distinct pour effectuer le travail des administrateurs et qu’il ne navigue pas sur Internet ni ne vérifie les courriels de ce compte. Un compte administrateur est un compte utilisateur qui vous permet d’apporter des modifications qui affecteront d’autres utilisateurs. Les administrateurs peuvent modifier les paramètres de sécurité, installer des logiciels et du matériel et accéder à tous les fichiers de l’ordinateur. Par conséquent, un cyberattaquant ayant un accès non autorisé à un compte administrateur peut être bien plus nuisible que l’accès à un compte utilisateur normatif. Utilisez l’authentification multifacteur (AMF) pour tous vos comptes. Cela signifie que même si un cyberattaquant connaît vos mots de passe, il ne pourra toujours pas accéder à ce compte en question.

2. Réfléchissez à la façon dont vous fonctionnez en tant que PME.

Réfléchissez à la manière dont quelqu’un pourrait cibler votre PME et assurez-vous que tous vos collaborateurs comprennent les méthodes normales de travail (notamment en ce qui concerne l’interaction avec d’autres organisations), afin qu’ils soient mieux équipés pour repérer les demandes qui sortent de l’ordinaire. Les faussetés courantes englobent l’envoi d’une facture pour un service que vous n’avez pas utilisé. Ainsi, lorsque la pièce jointe est ouverte, un logiciel malveillant est automatiquement installé (à votre insu) dans votre ordinateur. Une autre action malveillante consiste à inciter le personnel à transférer de l’argent ou des renseignements en envoyant des courriels qui semblent être authentiques. Autant que faire se peut, pensez à vos pratiques habituelles sur le lieu de travail et à la façon dont vous pouvez contribuer à rendre ces fourberies moins susceptibles de réussir à vous tromper.

Questions à propos de votre façon de fonctionner

1. Est-ce que votre personnel sait quoi faire en cas de demandes inhabituelles et où obtenir de l’aide?
2. Demandez-vous si quelqu’un qui usurpe l’identité d’une personne importante (un client ou un responsable) par courrier électronique doit être contesté (ou faire vérifier son identité d’une autre manière) avant de décider d’aller de l’avant avec vos opérations d’affaires.
3. Est-ce que vous comprenez la nature de vos relations habituelles d’affaires? Les fraudeurs envoient souvent des messages d’hameçonnage par courriel qui proviennent de grandes organisations (telles que des banques) dans l’espoir que certains des destinataires de ces courriels auront une connexion avec cette entreprise. Si vous recevez un courriel d’une organisation avec laquelle vous ne faites pas affaire, traitez-le avec méfiance.
4. Réfléchissez à la manière dont vous pouvez encourager et aider votre personnel à remettre en question les demandes suspectes ou simplement inhabituelles, même si elles semblent provenir de personnes importantes. Avoir la confiance nécessaire pour demander « est-ce que c’est authentique? » peut faire la différence entre rester en sécurité ou subir un cyberaccident coûteux.

Vous pouvez également envisager d’examiner la façon dont vos communications sortantes apparaissent aux fournisseurs et aux clients. Par exemple, est-ce que vous envoyez des courriels non sollicités demandant de l’argent ou des mots de passe? Est-ce que vos courriels seront confondus avec des messages d’hameçonnage par courriel ou laisseront-ils les gens vulnérables à une cyberattaque conçue pour ressembler à un courriel de votre part? Pensez à indiquer à vos fournisseurs ou clients ce à quoi ils doivent faire attention (par exemple : « nous ne vous demanderons jamais vos mots de passe » ou « nos coordonnées bancaires ne changeront à aucun moment »).

[1] Cette section est adaptée des ressources en ligne produites par le Centre canadien pour la cybersécurité. Conseils sur la cybersécurité, août 2022. Ne mordez pas à l’hameçon : reconnaître et prévenir les attaques par hameçonnage – ITSAP.00.101, https://www.cyber.gc.ca/fr/orientation/ne-mordez-pas-lhamecon-reconnaitre-et-prevenir-les-attaques-par-hameconnage

Détection et prévention des cyberattaques d’hameçonnage par courriel (suite)

3. Repérez les signaux évidents d’attaques d’hameçonnage par courriel.

Attendre de votre personnel qu’il identifie et supprime tous les hameçonnages par courriel est une demande impossible et elle aurait un effet néfaste considérable sur la productivité de votre entreprise. Toutefois, étant donné que de nombreux hameçonnages par courriel correspondent toujours au modèle d’une cyberattaque traditionnelle, repérez les signaux d’avertissement suivants :

1. De nombreuses escroqueries d’hameçonnage par courriel proviennent de l’étranger et souvent l’orthographe, la grammaire et la ponctuation sont médiocres. D’autres transgresseurs de la loi essaieront de concevoir des courriels d’aspect officiel en incluant des logos et des graphiques. Est-ce que la conception (et la qualité) de tels courriels sont ce à quoi vous vous attendez d’une grande organisation ?
2. Est-ce que de tels courriels vous sont adressés par votre nom ou font-ils référence à un « client estimé », un « ami » ou un « collègue » ? Cela peut être le signe que l’expéditeur ne vous connaît pas réellement et qu’il fait partie d’une escroquerie d’hameçonnage par courriel.
3. Est-ce que ces courriels contiennent une menace voilée vous demandant d’agir de toute urgence? Méfiez-vous des mots tels que « envoyez ces renseignements dans les 24 heures » ou « vous avez été victime d’un crime, cliquez ici immédiatement ».
4. Faites attention aux courriels qui semblent provenir d’une personne haut placée au sein de votre PME, demandant qu’un paiement soit effectué sur un compte bancaire particulier. Regardez le nom de l’expéditeur. Cela semble-t-il légitime ou essaie-t-il d’imiter quelqu’un que vous connaissez ?
5. Si cela semble trop beau pour être vrai, c’est probablement le cas. Il est très peu probable que quelqu’un veuille vous donner de l’argent ou vous donner accès à une partie secrète d’Internet.
6. Soyez prudent et méfiant lorsque vous numérisez les codes QR contenus dans les courriels que les criminels peuvent utiliser pour inciter les utilisateurs à visiter des sites Web frauduleux.
7. Les services de filtrage des courriels essaient d’envoyer des hameçonnages par courriel vers des dossiers de pourriels. Quoi qu’il en soit, les règles qui déterminent ce filtrage doivent être adaptées aux besoins de votre PME. Si ces règles sont trop ouvertes et que les courriels suspects ne sont pas envoyés dans les dossiers de pourriels, les utilisateurs devront alors gérer un grand nombre de courriels, augmentant ainsi leur charge de travail et laissant ouverte la possibilité d’un clic. Néanmoins, si vos règles sont trop strictes, certains courriels légitimes pourraient être perdus. Vous devrez peut-être modifier les règles au fil du temps pour garantir le meilleur compromis.

4. Signalez toutes les attaques d’hameçonnage par courriel.

Assurez-vous que le personnel de votre PME est encouragé à demander de l’aide s’il pense avoir été victime d’une attaque d’hameçonnage par courriel, surtout s’il n’a jamais soulevé un tel problème auparavant. Il est important de prendre des mesures pour rechercher des logiciels malveillants et modifier les mots de passe dès que possible si vous soupçonnez qu’une attaque réussie d’hameçonnage par courriel s’est produite. Ne punissez pas le personnel s’il se fait prendre. Cela décourage les gens de faire des signalements à l’avenir et peut les rendre si craintifs qu’ils consacrent trop de temps et d’énergie à examiner chaque courriel qu’ils reçoivent. À long terme, ces deux effets secondaires causent davantage de dommages à votre PME. Si vous pensez que votre PME a été victime de fraude, d’escroquerie ou d’extorsion en ligne, vous devez le signaler aux autorités compétentes. Partout au Canada, les PME victimes de fraudes, d’escroqueries ou d’extorsion en ligne doivent contacter le Centre antifraude du Canada via leur Système de déclaration de fraude ou par téléphone au 1-888-495-8501.

5. Vérifiez votre empreinte numérique.

Les cyberattaquants utilisent des informations accessibles au public sur vos PME et vos employés pour rendre leurs messages d’hameçonnage par courriel plus convaincants. Ces informations sont souvent collectées à partir du site Web et des comptes de réseaux sociaux de votre entreprise (informations connues sous le nom d’empreinte numérique).

1. Comprenez l’impact des informations partagées sur le site Web de votre PME et sur les pages des réseaux sociaux. Que doivent savoir les visiteurs de votre site Web et quels détails sont inutiles(mais pourraient être utiles aux cyberattaquants)?
2. Soyez conscient des informations que vos partenaires, entrepreneurs, sous-traitants et fournisseurs donnent en ligne au sujet de votre PME.
3. Aidez vos employés à comprendre comment le partage de leurs informations personnelles peut les affecter ainsi que votre organisation. Il ne s’agit pas d’attendre des gens qu’ils suppriment toute trace d’eux-mêmes sur Internet. Au lieu de cela, soutenez-les dans la gestion de leurs empreintes numériques, en façonnant leurs profils afin qu’ils fonctionnent pour eux et pour l’organisation.

Messages d’harponnage par courriel

En général, le harponnage par courriel est une approche plus ciblée que l’hameçonnage par courriel et il se concentre sur des individus en particulier au sein d’une organisation. Les acteurs de la menace préparent leurs stratagèmes en collectant toutes les informations possibles sur leur cible grâce au Renseignement d’origine source ouverte – ROSO, désigné en anglais comme Open-Source Intelligence (OSINT). Les profils LinkedIn, X/Twitter, Facebook, Reddit, Mastodon, etc., sont tous d’excellents endroits pour une telle collecte de données, permettant aux criminels de créer un profil convenable de leur(s) victime(s). En utilisant ces informations, les magouilleurs peuvent tromper les utilisateurs cibles en leur faisant croire que le courriel est une communication interne ou provient d’une source fiable en raison de l’accès aux renseignements personnels. Souvent, les messages d’harponnage par courriel contiennent un hyperlien vers un lecteur partagé, essayant de vous inciter à accéder à un fichier malveillant. À maintes reprises, ces courriels harpons sont pour la plupart du temps non sollicité, en dehors des activités, processus ou projets réguliers sur lesquels vous êtes en train de travailler.

Suivez le processus @&^$#%

Hormis les processus réguliers, officiels, autorisés et validés, une demande aussi inhabituelle que Suivez le processus @&^$#% doit toujours faire l’objet d’une validation croisée. Ne contournez jamais un processus officiel. Validez toujours une telle demande insolite via un autre canal de communication. Par opposition, écrivez un nouveau courriel à la personne qui est censée vous avoir contacté, en utilisant les informations de votre liste de contacts. N’utilisez pas de « Répondre à ». Écrivez un message direct à cette personne en utilisant votre outil de collaboration instantanée tel que Slack, Microsoft Teams, etc. Dans la mesure du possible, demandez une inspection ou une validation par les pairs. Les tentatives évidentes visant à gagner votre confiance doivent être considérées avec méfiance, car les cybercriminels tenteront de se justifier comme sources dignes de confiance en fournissant des renseignements inutiles sur vous. Lorsque des hyperliens vers des lecteurs partagés sont inclus dans de tels courriels non sollicités, réfléchissez deux fois avant de cliquer. Vous devriez théoriquement déjà avoir accès à ce dossier/fichier partagé, et même si ce n’est pas le cas, s’il a été réellement partagé au sein de votre organisation, vous pouvez le rechercher vous-même dans l’onglet de votre navigateur déjà ouvert.

Hameçonnage ciblé

Les hameçonnages ciblés (Whaling attack) correspondent généralement à des attaques d’hameçonnage par courriel ciblant des dirigeants de haut calibre, et elles ont toujours pour objectif de gagner de l’argent ou d’acquérir la propriété intellectuelle d’une entreprise (c’est-à-dire : espionnage). En d’autres termes, l’acteur malveillant cible un PDG, un directeur des finances ou un chef de l’exploitation en le contactant par courriel, message LinkedIn, etc., avec des détails plausibles et une connaissance approfondie de l’entreprise. Pour concrétiser des hameçonnages ciblés, il y a beaucoup de travail de préparation, de recherche, de renseignements sources libres (open source), d’analyse du profil de l’entreprise et du domaine d’affaires, etc. Comme pour les autres types d’hameçonnage par courriel, il faut toujours vérifier la véritable adresse courriel source d’un expéditeur au lieu du champ affiché « De ». Demandez-vous pourquoi quelqu’un vous a contacté via d’autres adresses au lieu du domaine de messagerie officiel de l’entreprise. Par exemple, faites des recherches un peu sur le passé d’un profil LinkedIn et sur l’existence réelle d’une entreprise, etc.

Escroquerie du faux chef d’entreprise (EFCE)

L’escroquerie du faux chef d’entreprise (EFCE) consiste à se faire passer pour le PDG, le directeur des finances, le chef de l’exploitation ou tout autre dirigeant, en essayant d’obtenir un avantage monétaire sous la forme d’un paiement électronique (à un faux fournisseur, à un soi-disant nouveau compte bancaire client/fournisseur, etc.), ou en obtenant des cartes-cadeaux d’un employé sans méfiance/escroqué. Ce modèle de cyberattaque fonctionne bien pour deux raisons. La première raison, et nous l’admettons, peut être intéressante, découle du modèle sociocorporatif des années 1970 et 1980, où les dirigeants étaient craints par la plupart des employés et où il était impossible de remettre en question ou de deviner leurs demandes. La deuxième raison est le manque de processus robustes de validation (ou l’absence de processus tout court) dans la gestion des fournisseurs et des achats.

Remarque : les autorités policières d’une préfecture japonaise ont créé de fausses cartes cadeaux et les ont placées dans des dépanneurs (boutiques de proximité). Lorsque la carte est achetée, la police est immédiatement alertée et elle peut sauver la victime cible qui a été trompée¹.

[1] Bill Toulas, Bleeping Computer Information Security and Technology News Publication, 27^th April 2024.
https://www.bleepingcomputer.com/news/security/japanese-police-create-fake-support-scam-payment-cards-to-warn-victims/

Clonage vocal ou hameçonnage via appel téléphonique

Le clonage vocal est une attaque de piraterie psychologique perpétrée par téléphone. L’un des plus emblématiques est probablement le faux appel d’assistance informatique, ciblant les personnes âgées et tentant d’inciter les victimes à acheter frauduleusement des logiciels de sécurité et à obtenir des remboursements frauduleux d’achats de téléphones cellulaires. Une image valant mille mots, nous invitons à regarder quelques chaînes YouTube gérées par des personnes et des groupes anti-arnaqueurs¹. Ce sont des vidéos très révélatrices. Attention : ce n’est pas une activité à prendre à la légère car il y a des risques relatifs à faire confiance à de tels groupes du crime organisé.

Dix (10) indicateurs significatifs de fraudes par clonage vocal²

1. Vous recevez un appel téléphonique inattendu d’une personne prétendant appartenir à un organisme gouvernemental, une institution financière ou une entreprise bien connue.
2. L’appelant vous demande de vérifier des renseignements personnels, tels que votre numéro de sécurité sociale, votre numéro de compte bancaire ou votre numéro de carte de crédit.
3. Cette personne insiste sur le fait que vous avez des problèmes ou qu’il y a un problème avec votre compte et vous demander d’agir rapidement pour résoudre le problème en question.
4. La résolution du problème en question peut impliquer d’effectuer des transferts instantanés d’argent afin de recevoir une récompense ou d’éviter une pénalité. Il est commun que les fraudeurs sollicitent des paiements via Zelle ou même des cartes cadeaux en gros.
5. Dans d’autres cas, l’appelant vous demande de télécharger un logiciel ou de cliquer sur un hyperlien qui pourrait installer un logiciel malveillant sur votre ordinateur.
6. L’appelant crée un sentiment d’urgence, vous incitant à agir immédiatement sans prendre le temps de réfléchir à la demande.
7. L’appelant devient agressif ou menaçant si vous ne répondez pas à sa demande.
8. Les appels de clonage vocal utilisent d’autres tactiques de pression, notamment des menaces d’annuler votre numéro d’assurance sociale (NAS) ou même de vous arrêter ou de vous expulser.
9. L’appelant s’exprime avec un accent étranger ou parle un anglais médiocre, ce qui pourrait indiquer qu’il n’est pas celui qu’il prétend être.
10. Le numéro de téléphone ou l’identification de l’appelant semble être faux ou usurpé.

Si vous reconnaissez l’un des indicateurs susmentionnés, ne divulguez pas de renseignements personnels et n’effectuez pas de paiement par téléphone. Au lieu de cela, raccrochez et contactez directement l’entreprise ou l’agence gouvernementale en utilisant un numéro de téléphone fiable.

[1] Pour ne citer que quelques-unes de ces chaînes YouTube révélatrices, découvrez le travail remarquable accompli par @ScammerPayback (https://www.youtube.com/@ScammerPayback ), et KitBogaShow (https://www.youtube.com/@KitbogaShow ).

[2] Résumé des conseils offerts par Emma McGowen, Norton Security Software Blog, 20^th February 2024. N.B. : en anglais uniquement. What is Vishing? Tips to Spot and Avoid Voice Phishing Scams. https://us.norton.com/blog/online-scams/vishing

Hameçonnage par texto

L’hameçonnage par texto utilise le même principe que l’hameçonnage par courriel provenant de votre (supposée) banque, de votre fournisseur de services gouvernementaux, de votre transporteur de colis, etc. La seule différence est que l’hameçonnage est accompli via des messages textes (textos) envoyés directement dans votre téléphone cellulaire. Ne l’oubliez pas : ne cliquez pas sur les hyperliens contenus dans les textos. Pour protéger vos actifs financiers, vos renseignements personnels, votre identité et votre confidentialité, utilisez plutôt votre application bancaire habituelle dans votre téléphone (si vous en avez une), ou connectez-vous directement au site Internet de votre banque habituelle. Si vous ne vous souvenez pas du site Web de votre banque, utilisez un moteur de recherche fiable.

Cinq présages d’hameçonnage par texto¹

Soyez très prudent avec les présages d’attaque via l’hameçonnage par texto. ci-dessous pour vous aider à déterminer si vous avez affaire à des textos d’hameçonnage sur votre appareil mobile

1. Numéros de téléphone suspects : les messages de clonage vocal proviennent souvent de numéros qui ne suivent pas la disposition typique à 10 chiffres ou qui n’utilisent pas une série du même numéro.
2. Hyperliens et fichiers provenant de numéros inconnus : l’hameçonnage par clonage vocal inclut souvent des hyperliens vers des sites Web trompeurs avec des URL inhabituelles qui vous dirigent vers un site Web dangereux.
3. Demandes urgentes : les fraudeurs utilisent souvent l’urgence pour effrayer leurs victimes. Mais les véritables entreprises donnent suffisamment d’informations sur les problèmes. Par conséquent, supprimez ces messages textes ou vérifiez-les auprès de l’expéditeur présumé.
4. Demandes d’argent : les messages textes invitant aux transferts d’argent en ligne sont probablement des escroqueries visant à drainer vos fonds.
5. Notifications de prix ou de récompenses : recevoir des alertes de prix ou de récompenses pour des concours auxquels vous n’avez pas participé est un signal d’alarme; évitez d’interagir ou de cliquer sur des hyperliens intégrés.

Signalez les textos d’hameçonnage à votre opérateur de téléphonie mobile en transférant le texto au numéro suivant – 7726.

[1] Olga Knezevic, Norton Security Software Blog, 20th February 2024. What is Smishing? How to Spot + Avoid an Attack?
https://us.norton.com/blog/emerging-threats/smishing

Réduction des risques d’hameçonnage par courriel, de clonage vocal et d’hameçonnage par texto grâce aux solutions de sécurité DNS

Pour diminuer les risques d’accès à des hyperliens malveillants issus de l’hameçonnage par courriel, du clonage vocal et de l’hameçonnage par texto, une solution technique consiste à exécuter une solution de sécurité du système de noms de domaine (DNS) et/ou à faire appel à un fournisseur de services DNS qui intègre cette fonctionnalité dans son offre de services.

Comment fonctionne le DNS?

La sécurité DNS détecte les zones de transit pour les domaines malveillants. Pour arrêter les tentatives d’infiltration et d’exfiltration, les serveurs DNS sécurisés rejettent les requêtes arrivant de ces sites de transit via n’importe quelle porte d’entrée ou protocole. Si des appareils compromis se connectent à votre réseau, la protection de la couche DNS bloque tout logiciel malveillant que les malfaiteurs pourraient tenter d’envoyer. Elle empêche également les rappels de votre serveur DNS vers les cyberattaquants qui pourraient tenter de le pirater¹.

La solution la plus simple consiste à utiliser un fournisseur DNS sécurisé au lieu de votre fournisseur de sécurité Internet (FAI) habituel. Comparativement à votre FAI, en plus de gagner un peu plus de confidentialité dans vos requêtes, ces fournisseurs intègrent généralement des options supplémentaires pour filtrer les requêtes DNS selon certains critères. La sélection dépend du fournisseur. Ces options sont généralement les suivantes : un contenu familial, un filtrage de domaines hébergeant des logiciels malveillants connus, etc. CIRA, le registraire de noms de domaine canadien, offre gratuitement ce service DNS pour un usage personnel et moyennant des frais minimes aux PME partout au Canada. Ce service DNS s’appelle le Bouclier canadien de Cira².

Une solution plus avancée consiste à utiliser un agent de sécurité DNS sur votre point de terminaison. Plusieurs prestataires existent sur le marché. L’avantage d’une telle solution avancée est que vous pouvez adapter la configuration en fonction de vos besoins et de votre contexte. Les organisations ayant de faibles exigences ou contraintes d’affaires/commerciales peuvent permettre qu’un large éventail de types de domaines ciblés soit atteint. Les organisations ayant des exigences élevées (voire des exigences réglementaires, comme les banques et les institutions financières), opteront pour une stratégie de filtrage plus approfondie, comme le blocage des réseaux sociaux, des fournisseurs RPV (VPN), des jeux de hasard et des domaines de type NSFW, etc.

[1] FORTINET Cyber Glossary. https://www.fortinet.com/resources/cyberglossary/dns-security#:~:text=
[2] CIRA CANADIAN SHIELD. DNS public gratuit pour les Canadiens.  https://www.cira.ca/fr/bouclier-canadien-de-cira/

Diminution des menaces d’hameçonnage par courriel et d’hameçonnage par texto via la Détection et réponse aux terminaux (DRT)

Les solutions de Détection et réponse aux terminaux (DRT) jouent un rôle primordial dans la protection des utilisateurs contre les messages d’hameçonnage par courriel et d’hameçonnage par texto. La DRT surveille en permanence les terminaux (appareils tels que les téléphones mobiles, les ordinateurs de bureau, les ordinateurs portables, etc.) et enregistre les comportements 24 heures sur 24. Elle analyse les données pour détecter toute activité suspecte reliée aux interactions par courrier électronique.

Par exemple, si un utilisateur ouvre une pièce jointe malveillante ou clique sur un hyperlien vers un courriel suspect, la DRT est capable de dénicher un tel comportement. En outre, la DRT recherche les cybermenaces inconnues qui contournent les défenses traditionnelles en identifiant des indicateurs de compromission (IDC), c’est-à-dire des modèles suggérant des activités malveillantes. Même si un hameçonnage par courriel ne contient pas de logiciel malveillant, la DRT peut toujours le détecter sur la base de ces IDC. Lorsque la DRT identifie une cybermenace, elle génère des alertes pour les équipes de cybersécurité, hiérarchisant les menaces et fournissant un contexte pour les enquêtes sur les violations. Dans certains cas, la DRT peut automatiquement limiter ou corriger les cybermenaces avant qu’elles ne se propagent. N’oubliez pas que la DRT est un complément aux solutions antivirus et anti-logiciel malveillant traditionnel, améliorant ainsi la protection contre les cybermenaces évolutives.

Pour plus d’informations à ce sujet : vous pouvez vous référer à l’Infolettre de décembre 2023 intitulée L’évolution de la cybersécurité : de l’antivirus aux solutions DRT (EDR).

Pourquoi la détection et réponses aux terminaux (DRT) est-elle grandement utilisée par les organisations?

Reconnue pour la première fois par Gartner en 2013, la Détection et réponse aux terminaux (DRT) bénéficie de nos jours d’une utilisation et d’une légitimation étendues dans les entreprises. Et c’est pour de bonnes raisons.

Des études estiment que jusqu’à 90 % des cyberattaques réussies et 70 % des violations de données réussies proviennent des appareils aux points terminaux. Même si les antivirus, les anti-logiciels malveillants, les pare-feux et autres solutions traditionnelles de sécurité des points terminaux ont évolué au fil du temps, ils se limitent encore à détecter les cybermenaces connues, fondées sur des fichiers ou des signatures. À cet égard, ils sont beaucoup moins efficaces pour arrêter les cyberattaques de piratage psychologique telles que les messages d’hameçonnage par courriel qui incitent les victimes à divulguer des données confidentielles ou à visiter de faux sites Web contenant du code malveillant. L’hameçonnage par courriel est la méthode de diffusion la plus courante des rançongiciels. Les solutions traditionnelles de sécurité des terminaux sont impuissantes face à un nombre croissant de cyberattaques sans fichier qui opèrent exclusivement dans la mémoire de l’ordinateur pour éviter complètement l’analyse des fichiers ou des signatures.

Plus importants encore, les outils traditionnels de sécurité des terminaux ne peuvent pas détecter ou neutraliser les cybermenaces avancées. Cela permet à ces cybermenaces de se cacher et de parcourir le réseau pendant des mois, collectant des données et identifiant les vulnérabilités en vue du lancement d’une cyberattaque de rançongiciel, d’une exploitation du jour zéro ou d’une autre cyberattaque à grande échelle.

La DRT intervient là où ces solutions traditionnelles de sécurité des terminaux s’arrêtent. Les analyses de détection des menaces et les aptitudes d’intervention automatisée de la DRT peuvent, souvent sans intervention humaine, identifier et contenir les cybermenaces potentielles qui pénètrent dans le périmètre du réseau avant qu’elles ne puissent causer de graves dommages. La DRT fournit également des outils que les équipes de cybersécurité peuvent utiliser pour découvrir, enquêter et prévenir par elles-mêmes les cybermenaces suspectées et émergentes¹.

[1] IBM. Think 2024: Tech News, Education and Events. https://www.ibm.com/topics/ed

Conclusion

Récapitulons ce que nous avons appris grâce à cette infolettre en soulignant les bonnes pratiques suivantes. Notons que la plupart des ces recommandations sont bénéfiques pour tous les types d’attaques :

Hameçonnage par courriel :

1. Réfléchissez à la façon dont vous fonctionnez en tant que PME.
2. Recherchez les signaux évidents des éclosions d’hameçonnage par courriel.
3. Configurez les comptes pour réduire l’impact des attaques réussies d’hameçonnage par courriel.
4. Signalez tous les événements d’hameçonnage par courriel.
5. Vérifiez votre empreinte numérique.

Clonage vocal :

1. Évitez de répondre aux appelants inconnus.
2. Ne décrochez pas le téléphone si vous voyez un numéro suspect.
3. Ne divulguez jamais vos renseignements personnels.
4. Les organisations de confiance n’acceptent pas les paiements par cartes prépayées ou cartes cadeaux.
5. Ne donnez jamais accès à quelqu’un qui utilise un ordinateur à distance.
6. Restreignez vos connexions RPV.
7. Examinez régulièrement vos journaux d’accès.

Hameçonnage par texto :

1. Activez l’authentification multifacteur (AMF) pour tous vos comptes en ligne.
2. Soyez prudent avec les messages non sollicités et ne répondez pas aux messages textes inconnus ou injustifiés.
3. Ne partagez pas de renseignements confidentiels et de données personnelles via des messages textes.
4. Installez un logiciel de sécurité et envisagez d’utiliser une application anti-logiciel malveillant pour votre téléphone intelligent.
5. Évitez de cliquer sur des hyperliens ou des fichiers joints suspects.
6. Inspectez les nouveaux numéros de téléphone entrants.
7. Contactez directement les banques/détaillants pour éviter l’usurpation d’identité. Les fraudeurs se font souvent passer pour des banques/entreprises.
8. Éduquez-vous, sensibilisez-vous et formez-vous ainsi que vos employés à l’hameçonnage par texto.

Ressources et références

Google Workspace. Neil Kumaran, Group Product Manager – Gmail Security & Trust. Spam Does Not Bring Us Joy – Riding Gmail of 100 Million More Spam Messages with TensorFlow, 6^th February 2019. https://workspace.google.com/blog/product-announcements/ridding-gmail-of-100-million-more-spam-messages-with-tensorflow

Microsoft Tech Support. Protect Yourself from Phishing. https://support.microsoft.com/en-us/windows/protect-yourself-from-hameçonnage par courriel-0c7ea947-ba98-3bd9-7184-430e1f860a44

CENTRE CANADIEN POUR LA CYBERSÉCURITÉ. Conseils sur la cybersécurité, août 2022. Ne mordez pas à l’hameçon : reconnaître et prévenir les attaques par hameçonnage – ITSAP.00.101 https://www.cyber.gc.ca/fr/orientation/ne-mordez-pas-lhamecon-reconnaitre-et-prevenir-les-attaques-par-hameconnage

Bill Toulas, Bleeping Computer Information Security and Technology News Publication, 27^th April 2024. https://www.bleepingcomputer.com/news/security/japanese-police-create-fake-support-scam-payment-cards-to-warn-victims/

YouTube Channels by @ScammerPayback. https://www.youtube.com/@ScammerPayback

Emma McGowen, Norton Security Software Blog, 20^th February 2024. What is Vishing? Tips to Spot and Avoid Voice Phishing Scams. https://us.norton.com/blog/online-scams/

Olga Knezevic, Norton Security Software Blog, 20^th February 2024. What is Smishing? How to Spot + Avoid an Attack? https://us.norton.com/blog/emerging-threats/smishing

FORTINET Cyber Glossary. https://www.fortinet.com/resources/cyberglossary/dns-security#:~:text=

Le Bouclier canadien de CIRA – Un DNS public entièrement gratuit https://www.cira.ca/fr/bouclier-canadien-de-cira/

IBM. Think 2024: Tech News, Education and Events. https://www.ibm.com/topics/edr

K. Jansson & R. von Solms, 9^th November 2013, Taylor & Francis Online Publishing. “Phishing for Phishing Awareness”, Behavior and Information Technology (BIT), Volume 32 (Issue 6): pp. 584-593. https://www.tandfonline.com/doi/abs/10.1080/0144929X.2011.632650

Ramzan Zulfikar (2010), “Phishing Attacks and Countermeasures”, in Mark Stamp & Peter Stravoulakis (Editors). Handbook of Information and Communication Security, pp. 433-447, Springer Publishing, New York, USA. https://www.amazon.ca/Handbook-Information-Communication-Security-Stavroulakis/dp/3642444598/ref=

Slade E. Griffin & Casey C. Rackley, 18^th September 2008, Association for Computing Digital Library. “Vishing – Research Article”, Proceedings of the 5^th Annual Conference on Information Security Curriculum Development, pp. 23-35. https://dl.acm.org/doi/10.1145/1456625.1456635

Kevin F. Steinmetz & Thomas J. Holt, 5^th April 2023, Saje Journals, “Falling for Social Engineering: A Qualitative Analysis of Social Engineering Policy Recommendations”, Social Science Computer Review, Volume 41 (Issue 2): pp. 592-607. https://journals.sagepub.com/doi/epub/10.1177/08944393221117501

Contributions

Remerciements en particulier pour le soutien financier du Programme d’aide à la recherche industrielle (PARI) du Conseil national de recherches du Canada (CNRC).

Éditeur en chef : Alan Bernardi

Traducteur, réviseur & correcteur d’épreuves : Ravi Jay Gunnoo (C.P.T. ISO 17100)