L’usurpation d’identité aussi nommée mystification ou spoofing est un type d’attaque qui utilise différentes méthodes pour dissimuler l’identité du pirate et faire croire à la victime qu’il s’agit d’un collègue, de son patron ou d’une entreprise légitime. Le pirate utilise des méthodes d’hameçonnage communes, comme les faux liens et sites Web, et l’ingénierie sociale.
Les cybercriminels étant très habiles pour répliquer l’identité visuelle d’une entreprise ou personnifier une personne de confiance, la meilleure façon de détecter ces fraudes est d’identifier les comportements étranges et inhabituels. Le mode de communication choisie par l’attaquant peut également être différent des procédures habituelles d’une entreprise. Par exemple, une banque peut demander des informations précises sur son site Web, mais ne vous les demandera jamais par courriel.
Le présent article présente sept scénarios d’usurpation d’identité les plus communs et prodigue des conseils pour les identifier.
Usurpation de l’identité d’un collègue
Les cybercriminels utilisant cette méthode recueillent beaucoup d’information personnelle sur leurs victimes. Ils identifient leur lieu de travail, et parfois même leurs collègues, afin de composer un courriel le plus convaincant possible. La cible partage ainsi des informations avec l’attaquant de son plein gré.
Comme les informations dans le courriel semblent valides, les victimes sont moins susceptibles de contre-vérifier sa provenance. À l’instar d’autres tentatives d’ingénierie sociale, l’adresse courriel ne présentera pas le bon affixe et des fautes d’orthographe peuvent être présentes.
La meilleure façon de contrer ces attaques est de valider l’information directement auprès du collègue en cause, soit en personne ou via la plateforme de clavardage utilisée au travail (comme Teams), avant de partager l’information.
Fausse facture
De la même façon que nous recevons des centaines de courriels chaque jour, les services comptables des grandes entreprises reçoivent des centaines de factures tous les jours. En général, ces factures proviennent de compagnies qu’ils ne connaissent pas directement.
Ces attaques sont difficiles à détecter parce qu’elles contiennent souvent le même nom de domaine et d’entreprise que la facture, mais concernent des produits ou services qui n’ont jamais été rendus.
Ce type d’attaque souligne l’importance de mettre en place un processus de vérification en deux étapes pour toutes les factures. Une personne prépare la facture et l’autre valide l’information avec le service concerné pour s’assurer de l’authenticité de la facture.
Extension malveillante
Une tactique d’hameçonnage fréquente consiste à amener la victime à télécharger un fichier malveillant qui infectera son appareil. Ce type d’attaque est habituellement combiné à des tactiques d’ingénierie sociale visant à convaincre les utilisateurs que le fichier est un document de travail ordinaire.
Livre Blanc - Comment protéger vos données contre l’ingénierie sociale
Apprenez à détecter les tactiques et les menaces courantes d’ingénierie sociale (social engineering) et à protéger les données confidentielles contre les cybercriminels.
L’attaquant donne alors un nom anodin à un fichier exécutable, comme « Résultats T3 », en espérant que la victime ne réalise pas qu’il s’agit d’un .exe plutôt que d’un fichier Excel. Les pirates peuvent également tenter de le dissimuler en ajoutant une extension à la fin, comme T3Résultats.bat.pdf.
Rappelez à vos utilisateurs de toujours vérifier l’extension des documents qu’ils souhaitent télécharger et de ne jamais télécharger une extension qu’ils ne reconnaissent pas. Il est également avisé de ne jamais télécharger un fichier provenant d’une source inconnue sans lui avoir fait passer un antivirus.
De plus en plus de pirates expérimentés ont trouvé des façons d’intégrer des fichiers exécutables dans des fichiers PDF, sans changer l’affixe de l’extension. Cet exemple démontre pourquoi il est essentiel d’installer un logiciel de vérification des fichiers pour tous les courriels reçus par l’entreprise.
Usurpation faciale
La reconnaissance faciale devenant la norme pour déverrouiller les téléphones intelligents et les ordinateurs sans mot de passe, ce type d’usurpation est en forte hausse. Les cybercriminels ont trouvé de nombreuses façons d’utiliser des photos, des vidéos et même des représentations en 3D de leurs victimes pour accéder à leurs appareils.
Toutefois, ce type d’attaque peut survenir seulement si le pirate dispose d’un accès physique et prolongé à l’appareil. La meilleure façon de se prémunir de ce type de situation est d’établir une politique détaillée en ce qui a trait au matériel perdu ou volé. Un autre moyen efficace est de configurer les appareils de façon qu’il soit nécessaire de saisir un NIP ou un mot de passe avant la reconnaissance faciale si l’appareil était inactif.
Fausses amendes
Cette tactique est habituellement combinée à de l’hameçonnage vocal ou par courriel. Les pirates se présentent comme étant des fonctionnaires municipaux ou des agents de recouvrement et exigent le paiement immédiat d’une amende.
En général, les cybercriminels ont préalablement pris le temps de recueillir des informations sur leurs victimes pour accroître leurs chances de réussite. Ainsi, ils connaissent le nom complet de la personne et des renseignements comme la marque et le modèle de leur voiture, ou même leur numéro d’immatriculation. La victime est ensuite contrainte de payer l’amende par téléphone, en utilisant sa carte de crédit.
Ces attaques fonctionnent souvent parce qu’elles semblent réalistes, et la victime cède sous la pression. Rappelez à vos utilisateurs que ce genre d’amendes doit toujours être payé par des voies officielles, comme un transfert bancaire ou un paiement par carte de crédit sur un site Web sécurisé et non par téléphone. S’ils subissent de la pression de la part de leur interlocuteur, conseillez-leur de demander à voir l’amende en question et d’exiger de payer via une plateforme sécurisée.
Profils malveillants sur les médias sociaux
Ce type d’attaque survient sur les médias sociaux. Les pirates créent un faux compte de médias sociaux ou un faux compte d’assistance technique pour amener les utilisateurs à partager leurs renseignements personnels. La tactique la plus commune est de trouver un utilisateur qui a partagé une publication pour se plaindre d’un service en ligne spécifique. Il est ensuite facile de communiquer avec cette personne en se faisant passer pour un représentant de cette compagnie.
L’utilisateur croit ainsi qu’il bénéficie d’un traitement de faveur et n’hésite pas à saisir ses informations de compte sur la fausse page de réinitialisation du mot de passe créée par le pirate. Les faux comptes de médias sociaux sont souvent identiques aux comptes officiels, et peuvent donc être difficiles à détecter.
Une fois de plus, ces attaques peuvent être déjouées en rappelant aux utilisateurs de ne jamais partager des informations sur les médias sociaux et de réinitialiser les mots de passe uniquement sur les sites Web officiels.
Hameçonnage via le moteur de recherche
Ces attaques sont incroyablement élaborées et nécessitent la création de sites Web complets, indexés dans Google grâce à des méthodes traditionnelles et illicites de référencement SEO. En général, les compagnies impliquées dans ces stratagèmes vendent de faux produits et services, et demandent aux utilisateurs de saisir leurs informations bancaires ou de carte de crédit pour compléter un achat.
Les fonds sont bien évidemment volés, et les informations financières sont utilisées pour voler l’identité de la victime. Le principal indice de ces attaques est qu’elles n’utilisent pas un service de traitement des paiements reconnu. Rappelez à vos utilisateurs de magasiner seulement sur des sites Web de confiance utilisant des services de traitement des paiements reconnus comme Shopify, Stripe ou PayPal.
La sensibilisation est la clé
Le succès de ces attaques repose essentiellement sur la non-vigilance des personnes ciblées. Pourtant, les étapes nécessaires pour les déceler ne prennent que quelques secondes ou un changement mineur du comportement. La meilleure façon de montrer aux utilisateurs les différentes formes que peuvent prendre les brèches de sécurité est de planifier différents programmes de simulation d’hameçonnage comprenant des attaques d’usurpation d’identité.
Ces attaques continueront d’évoluer en fonction des nouveaux modes de communications et des nouvelles plateformes qui verront le jour. Assurez-vous que vos utilisateurs soient prudents et appliquent quotidiennement les mesures présentées dans cet article. Vous serez ainsi en mesure de protéger les données de votre entreprise.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Inscrivez-vous dès maintenant pour accéder à des contenus informatifs, partageables et multiformats sur la cybersécurité.