L’usurpation d’identité, également connue sous le nom de mystification ou de spoofing, est une forme d’attaque qui utilise différentes méthodes pour dissimuler l’identité du pirate informatique et faire croire à la victime qu’il s’agit d’un collègue, d’un supérieur ou d’une entreprise légitime. Les pirates utilisent souvent des techniques de phishing, telles que des liens et des sites Web frauduleux, ainsi que de l’ingénierie sociale.
Les cybercriminels sont très doués pour reproduire l’identité visuelle d’une entreprise ou pour se faire passer pour une personne de confiance. La meilleure façon de détecter ces fraudes est d’identifier les comportements étranges et inhabituels. Il est également important de noter que le mode de communication choisi par l’attaquant peut différer des procédures habituelles de l’entreprise. Par exemple, une banque peut demander des informations spécifiques sur son site Web, mais ne vous les demandera jamais par e-mail.
Usurpation de l’identité d’un collègue
Les cybercriminels qui utilisent cette méthode recueillent de nombreuses informations personnelles sur leurs victimes. Ils identifient leur lieu de travail, et parfois même leurs collègues, afin de composer un e-mail aussi convaincant que possible. La victime partage ainsi des informations avec l’attaquant de son plein gré.
Pour contrer ce type d’attaque, il est essentiel de vérifier directement les informations auprès du collègue en question, que ce soit en personne ou via la plateforme de messagerie utilisée au travail (comme Teams), avant de partager des informations sensibles.
Fausse facture
De la même manière que nous recevons des centaines d’e-mails chaque jour, les services comptables des grandes entreprises reçoivent également des centaines de factures. Ces factures proviennent souvent de sociétés qu’ils ne connaissent pas directement.
Il est difficile de détecter ce type d’attaque car ces factures contiennent souvent le même nom de domaine et le même nom d’entreprise que les factures légitimes, mais concernent des produits ou services qui n’ont jamais été fournis.
Pour contrer ces attaques, il est important de mettre en place un processus de vérification en deux étapes pour toutes les factures. Une personne prépare la facture et une autre valide les informations auprès du service concerné pour s’assurer de l’authenticité de la facture.
Extension malveillante
Une tactique de phishing courante consiste à amener la victime à télécharger un fichier malveillant qui infectera son appareil. Cette attaque est généralement combinée à des techniques d’ingénierie sociale visant à convaincre les utilisateurs que le fichier est un document de travail ordinaire.
Les pirates donnent souvent un nom anodin au fichier exécutable, comme “Résultats T3”, espérant que la victime ne réalisera pas qu’il s’agit d’un fichier “.exe” plutôt que d’un fichier Excel. Ils peuvent également essayer de le dissimuler en ajoutant une extension à la fin, comme “T3Résultats.bat.pdf”.
Il est important de rappeler aux utilisateurs de toujours vérifier l’extension des documents qu’ils souhaitent télécharger et de ne jamais télécharger une extension qu’ils ne reconnaissent pas. Il est également conseillé de ne jamais télécharger un fichier provenant d’une source inconnue sans l’avoir scanné avec un antivirus.
De plus en plus de pirates informatiques parviennent à intégrer des fichiers exécutables dans des fichiers PDF, sans modifier l’extension du fichier. Cet exemple montre pourquoi il est essentiel d’installer un logiciel de vérification des fichiers pour tous les e-mails reçus par l’entreprise.
Usurpation faciale
Avec la démocratisation de la reconnaissance faciale pour déverrouiller les smartphones et les ordinateurs, ce type d’usurpation est en hausse. Les cybercriminels ont trouvé de nombreuses façons d’utiliser des photos, des vidéos et même des représentations en 3D de leurs victimes pour accéder à leurs appareils.
Cependant, ce type d’attaque ne peut se produire que si le pirate dispose d’un accès physique prolongé à l’appareil. La meilleure façon de se protéger contre ce type de situation est d’établir une politique détaillée concernant le vol ou la perte de matériel. Une autre mesure efficace consiste à configurer les appareils pour qu’il soit nécessaire de saisir un code PIN ou un mot de passe avant d’utiliser la reconnaissance faciale lorsque l’appareil est inactif.
Fausses amendes
Cette tactique est généralement combinée à une attaque de phishing ou de vishing. Les pirates se font passer pour des fonctionnaires municipaux ou des agents de recouvrement par e-mail ou par téléphone et exigent le paiement immédiat d’une amende.
En général, les cybercriminels prennent le temps de recueillir des informations sur leurs victimes afin d’accroître leurs chances de réussite. Ils connaissent le nom complet de la personne, ainsi que des informations telles que la marque et le modèle de leur voiture, voire leur numéro d’immatriculation. La victime est ensuite contrainte de payer l’amende par téléphone en utilisant sa carte de crédit.
Ces attaques fonctionnent souvent car elles semblent réalistes, et la victime cède sous la pression. Il est important de rappeler aux utilisateurs que ce type d’amende doit toujours être payé par des voies officielles, telles qu’un virement bancaire ou un paiement par carte de crédit sur un site Web sécurisé, et non par téléphone. En cas de pression de la part de l’interlocuteur, conseillez-leur de demander à voir l’amende en question et d’exiger de payer via une plateforme sécurisée.
Profils malveillants sur les réseaux sociaux
Ce type d’attaque se produit sur les réseaux sociaux. Les pirates créent de faux comptes de réseaux sociaux ou de faux comptes de support technique pour inciter les utilisateurs à partager leurs informations personnelles. La tactique la plus courante consiste à trouver un utilisateur qui s’est plaint d’un service en ligne spécifique et à communiquer avec cette personne en se faisant passer pour un représentant de l’entreprise en question.
L’utilisateur pense ainsi bénéficier d’un traitement de faveur et n’hésite pas à saisir ses informations de compte sur la fausse page de réinitialisation du mot de passe créée par le pirate. Les faux comptes de réseaux sociaux ressemblent souvent aux comptes officiels, il est donc difficile de les détecter.
Une fois de plus, ces attaques peuvent être contrecarrées en rappelant aux utilisateurs de ne jamais partager d’informations personnelles sur les réseaux sociaux et de réinitialiser les mots de passe uniquement sur les sites Web officiels.
Hameçonnage via un moteur de recherche
Ces attaques sont extrêmement sophistiquées et nécessitent la création de sites Web complets, référencés dans Google grâce à des méthodes de référencement SEO traditionnelles et frauduleuses. En général, les sociétés impliquées dans ces stratagèmes vendent de faux produits et services et demandent aux utilisateurs de saisir leurs informations bancaires ou de carte de crédit pour finaliser un achat.
Les fonds sont bien sûr détournés et les informations financières sont utilisées pour voler l’identité de la victime. L’indicateur principal de ces attaques est l’absence d’un service de paiement réputé. Rappelons aux utilisateurs de ne faire des achats en ligne que sur des sites Web de confiance utilisant des services de paiement réputés tels que Shopify, Stripe ou PayPal.
La sensibilisation est la clé
Le succès de ces attaques repose principalement sur le manque de vigilance des personnes ciblées. Pourtant, les mesures nécessaires pour les détecter ne prennent que quelques secondes ou un changement mineur de comportement. La meilleure façon de montrer aux utilisateurs les différentes formes que peuvent prendre les attaques de sécurité est de mettre en place des programmes de simulation de phishing comprenant des attaques d’usurpation d’identité.
Ces attaques continueront d’évoluer au fur et à mesure des nouveaux modes de communication et des nouvelles plateformes qui verront le jour. Assurez-vous que vos utilisateurs soient prudents et appliquent quotidiennement les mesures présentées dans cet article. Vous serez ainsi en mesure de protéger les données de votre entreprise.
