Les courriels d’extorsion reviennent en force
Les adresses courriel personnelles et leur mot de passe sont l’élément d’identité le plus précieux parce qu’ils sont utilisés pour vous identifier de façon unique sur Internet, mais aussi pour valider l’accès à vos comptes, suivre le lieu où vous vous trouvez ou encore stocker vos communications pendant des années ou des décennies. (Getty Images/Fizkes)
Nous avons tous vu ça : un courriel suspect arrive dans notre boîte de réception; l’expéditeur nous demande de cliquer sur un lien, d’ouvrir une pièce jointe, d’envoyer de l’argent ou de répondre immédiatement.
Les fraudeurs évoquent souvent une urgence, misent sur notre curiosité et se font parfois même menaçants. Les arnaques par courriel n’ont rien de nouveau, mais il semble que des gens crédules tombent dans le piège, d’autant plus que les méthodes des pirates gagnent en raffinement, en audace et en capacité d’infiltration.
Voici quelques arnaques types dont il faut se méfier.
LES COURRIELS D’EXTORSION SONT DE RETOUR
Selon un rapport de Symantec, les courriels qui visent à extorquer de l’argent aux victimes seraient en hausse. Seulement dans les cinq premiers mois de 2019, l’entreprise de cybersécurité en a bloqué 289 000 000 pour ses abonnés.
Symantec mentionne que la fréquence des escroqueries par « courriel de sextorsion », tout particulièrement, a augmenté depuis le milieu de 2018. Les pirates informatiques menacent de diffuser des images d’une webcam de la personne ciblée en train de consulter un site Web pour adultes, images qu’ils prétendent avoir enregistrées au moyen d’un logiciel malveillant. Si la victime verse un montant déterminé (en bitcoins, de plus en plus souvent), son « secret » ne sera pas éventé.
Il y a aussi l’« escroquerie de l’infidélité », par laquelle un escroc contacte une personne par téléphone, par courriel, par texto ou même par la poste, en prétendant avoir des preuves accablantes de son infidélité présumée et en exigeant le dépôt d’une somme en bitcoins pour que ces preuves ne soient pas divulguées, à défaut de quoi elles pourraient être envoyées au conjoint trompé. En 2018, la Federal Trade Commission des États-Unis a émis une mise en garde contre ce type d’escroquerie par chantage.
« Les pirates formulent des menaces sans réellement avoir l’information compromettante qu’ils disent détenir, explique Imran Ahmad, expert en cybersécurité. Ils misent sur le sentiment d’embarras et de peur de la personne ciblée. »
Parmi les autres stratagèmes, mentionnons les menaces à la bombe et les menaces d’assassinat par un tueur à gages (« Vous me payez tant, sinon une bombe va exploser dans votre bureau / l’un de nos hommes va vous faire la peau »), ou encore les fausses demandes de paiement par les autorités fiscales (« Envoyez-nous tant, sinon c’est la prison pour vous »). Si vous avez le malheur de cliquer sur les liens intégrés à ces courriels, voilà que votre ordinateur sera infecté de maliciels, de rançongiciels ou de virus de type cheval de Troie, conçus pour subtiliser vos informations personnelles.
« À ce moment-là, les pirates ont pleinement accès à votre ordinateur, précise M. Ahmad. Ils peuvent suivre tout ce que vous faites, même au niveau de chacune des touches enfoncées, selon le type de logiciel ou de virus qu’ils ont réussi à introduire. »
AUSSI EN HAUSSE : LES ATTAQUES À L’AIDE D’AUTHENTIFIANTS VOLÉS
Les adresses courriel et le mot de passe qui leur est associé sont à la base de ce qu’il faut aux pirates pour commettre leurs méfaits, rappelle Claudiu Popa, conseiller agréé en matière de risque et de sécurité et chef de la direction de la société Informatica Corporation. Pourquoi donc? Parce que, explique l’expert, ils sont la porte d’entrée vers l’identité virtuelle d’une victime et peuvent donner accès à plusieurs comptes, appareils et activités en ligne.
« Les adresses courriel personnelles et leur mot de passe sont de loin l’élément d’identité le plus précieux, parce qu’ils sont utilisés non seulement pour vous identifier de façon unique sur Internet, mais aussi pour valider l’accès à vos comptes, suivre le lieu où vous vous trouvez et les appareils que vous utilisez, cerner vos comportements et préférences, ou encore stocker vos communications pendant des années ou des décennies; bref, tout ce qui est généralement au cœur de votre existence. »
Les attaques à l’aide d’authentifiants volés, parfois désignées par le terme anglais credential stuffing, sont une autre façon de pousser la perfidie encore plus loin. Ainsi, les pirates informatiques obtiennent des données comme le code d’utilisateur ou l’adresse courriel, un mot de passe et même les réponses aux questions de sécurité (données qui auront été volées d’un site Web) et, grâce à l’automatisation, les entrent dans d’autres sites comme les comptes de courriel, les portails des banques et les comptes de réseaux sociaux pour voir s’ils fonctionnent.
« Cette tendance est à la hausse, parce que les pirates savent que les gens utilisent souvent le même mot de passe pour plusieurs sites et parce que les malfaiteurs savent tirer parti des grandes failles de sécurité de plus en plus courantes », fait observer M. Popa.
DES EN-TÊTES CONVAINCANTS
Méfiez-vous de certains intitulés classiques qu’on peut lire à la ligne Objet des courriels mal intentionnés. Quelques exemples : « Faites vite, sinon...! », « Comment joindre plus de clients », ou encore « Trois façons de faire 7 500 $ par semaine ». Menaçantes ou trop prometteuses, ces invitations à agir devraient toujours déclencher un signal d’alarme, soutient M. Popa.
Il existe par contre des courriels à visée frauduleuse dont l’apparence est à s’y méprendre. Des pirates plus raffinés réussissent en effet à reproduire des courriels ayant tout à fait l’allure sérieuse des messages envoyés par des détaillants, des banques, des fournisseurs de téléphonie mobile ou des agences de voyages, ajoute M. Ahmad. On peut facilement être dupé tellement les courriels ont l’air authentiques; ils peuvent même contenir des choses habituelles comme la confirmation d’une commande, la confirmation qu’un mot de passe a été réinitialisé, ou encore un avis d’activité suspecte dans un compte.
M. Ahmad : « Tout a l’air légitime... leur apparence est bonne et il n’y a pas de fautes d’orthographe. Vous seriez surpris de voir à quel point les gens ont du mal à dire s’il s’agit d’un “vrai” courriel ou d’une imitation. »
Symantec mentionne aussi que les cybercriminels piquent notre intérêt en utilisant, dans les en-têtes des courriels, nos anciens mots de passe, numéros de téléphone ou adresses courriel, lesquels auront été extraits de fichiers copiés par suite d’une atteinte à la sécurité informatique.
DES BOBARDS, TU TE MÉFIERAS
Donc, malgré les articles comme celui-ci et les mises en garde d’experts, pourquoi arrive-t-il encore que nous ouvrions ces courriels ou même que nous cliquions sur des liens malveillants? Tout simplement parce que ces courriels sont bien rédigés, parce que le message est subtil ou parce qu’ils sont très attrayants, affirme M. Ahmad. Le ton familier souvent utilisé peut aussi nous inciter à agir.
« La curiosité humaine est ce qu’elle est... Les pirates ont le chic pour écrire sur la ligne Objet des en-têtes accrocheurs, qui incitent à voir ce qu’il en est. »
D’autres méthodes plus évoluées sont aussi mises à contribution, comme la combinaison de données riches, le recours à l’intelligence artificielle, le contournement des mesures de défense comme l’authentification à deux facteurs, ou encore une plus grande puissance informatique, ajoute M. Popa.
« Les fraudes, les arnaques et les tromperies en tous genres, ça existe depuis que le monde est monde. Rien de bien nouveau, qu’il s’agisse de l’arnaque de la lettre du Nigeria ou des attrape-nigauds déployés par des vendeurs de rue, mentionne M. Popa. Quand on n’est pas au courant que telle ou telle arnaque existe, il est bien difficile d’être sur ses gardes. Et quand on n’a pas soi-même l’esprit mal tourné, une certaine naïveté peut nous jouer des tours. »
PRENEZ LES DEVANTS
Vous voudrez peut-être lire un guide pratique publié par CPA Canada sur les façons de bien protéger votre argent et vos données personnelles. Nous vous proposons aussi un atelier sur la protection contre la fraude.
EN ALERTE, POUR VOUS PROTÉGER |
|---|
|
Du côté des comptes de courriel personnels, la plus grande menace est l’usurpation d’identité, pensent les experts en cybersécurité comme Imran Ahmad et Claudiu Popa. Ils offrent ici des conseils pour vous protéger. Cela peut sembler évident, mais rappelons-le tout de même : filtrez les sites Web risqués (à l’aide d’outils comme OpenDNS, conseille M. Popa) et supprimez illico les courriels douteux, dont le contenu est souvent squelettique mais truffé de leurres. Utilisez des mots de passe différents pour vos divers comptes. Évitez d’utiliser les authentifiants de votre compte Facebook ou Google, par exemple, pour ouvrir une session dans d’autres types de comptes en ligne. « Oui, cela demande plus d’efforts, mais si ces authentifiants étaient compromis, un pirate pourrait s’en servir pour accéder à ces autres comptes », explique M. Ahmad. Utilisez l’authentification à deux facteurs. Lorsqu’elle vous est proposée, exploitez cette fonction, conseille M. Ahmad, car c’est une assurance supplémentaire pour la protection de vos données personnelles. Gérez bien vos mots de passe. Une autre évidence, mais, oui, changez régulièrement vos mots de passe et choisissez-en un plutôt complexe, rappelle M. Ahmad. Évitez en tout cas d’utiliser un même mot de passe pour tous vos comptes, ajoute M. Popa. De cette façon, si un site que vous utilisez fait l’objet d’une violation, vos autres comptes ne seront pas touchés. Faites le ménage de votre boîte de courriel. Supprimez les courriels caducs ou inutiles contenant des reçus, des factures ou d’autres documents qui contiennent probablement des données personnelles. « Examinez bien vos courriels. Vous serez étonné de voir à quel point un grand nombre contiennent des renseignements personnels, mentionne M. Ahmad. Alors, imaginez le festin pour un tiers malveillant qui mettrait la main sur tout ça! » |