Escroquerie par usurpation d’identité

L’usurpation d’identité d’un proche sur internet constitue la troisième partie de notre saga estivale sur les nouvelles arnaques du web

L’usurpation d’identité est une nouvelle technique d’escroquerie sur internet. On a vu que les pirates se faisaient passer pour votre banque, votre fournisseur d’électricité ou des services informatiques, hé bien, ils se font même passer pour vous.

usurpation d'identité

En effet, une des nouvelles techniques parmi les plus faciles pour les escrocs, c’est de se faire passer pour un ami proche ou un parent. Les fraudeurs ayant au préalable piraté et pénétré la boite e-mail d’une personne identifient alors une connaissance proche. Ensuite, après usurpation d’identité de la personne à qui ils ont piraté la boite e-mail, ils entrent en contact avec le proche parent en question.

Les plus proches amis sont généralement les cibles les plus faciles

Il est en effet simple de les convaincre d’ouvrir un fichier qui contient un virus. Et ainsi de suite, les escrocs peuvent passer à d’autres victimes dans la liste des contacts trouvés dans la boite e-mail.

La réussite des campagnes de spams ou pourriels traditionnels est en général une question de quantité. Il faut en envoyer un grand nombre pour que cela fonctionne. Mais à présent le modèle s’essouffle, les gens commencent à connaitre l’escroquerie et de moins en moins de victimes mordent à l’hameçon.

Consacrer plus de temps à moins de cibles potentielles devient de plus en plus lucratif. Pourquoi essayer de faire croire à quelqu’un que son compte en banque a été piraté alors qu’il n’est pas client de la banque en question ? Au contraire, trouver le nom du conseiller bancaire d’un individu en ayant piraté la boite e-mail de cet individu, voilà une base solide pour une future tentative d’arnaque ! Pas besoin d’une attaque sophistiquée, un e-mail standard de phishing avec usurpation d’identité du conseiller bancaire en question se révélera très efficace.

Vous trouvez également des informations sur la page consacrée à cette nouvelle escroquerie basée sur le piratage de boite e-mail

Arnaque au faux département informatique

Les escroqueries au faux département informatique constituent le deuxième volet de notre série estivale sur les nouvelles arnaques.

Les escroqueries au faux département informatique ou à la fausse société de sécurité informatique sont en pleines expansions. Les escrocs non seulement font appel aux émotions, mais ils utilisent aussi la peur ou l’urgence pour inciter les victimes à donner leurs mots de passe ou toute autre information confidentielle.

département informatique

L’une des nouvelles techniques consiste pour les fraudeurs à contacter des victimes sur leurs lieux de travail. Pour cela, ils se font passer pour le département informatique de la société. Ou bien, ils se font passer pour une société de sécurité informatique par exemple.

Pour beaucoup de sociétés faisant partie de groupes internationaux, les services informatiques sont aujourd’hui regroupés au sein d’une entité parfois localisée très loin des autres services. On n’est plus surpris de recevoir des appels de personnes faisant partie de la même société que la sienne, et pourtant que l’on a jamais vu. Les services informatiques peuvent également être sous-traités à un prestataire extérieur. Dans ce cas, il est possible d’avoir des contacts sans pour autant se connaitre.

Des escrocs ayant réponse à tout

C’est en profitant de cette organisation du travail que les escrocs peuvent piéger leurs victimes. Ils prétendent faire partie de ce fameux département informatique que tout le monde connait sans savoir qui y travaille vraiment. Ensuite, ils prétextent une violation de sécurité ou une urgence quelconque. Puis, ils demandent à leurs victimes de changer le mot de passe de leurs comptes par un autre qu’ils auront suggéré.

Ils peuvent également demander à leurs victimes d’aller sur internet pour télécharger un fichier. Les victimes commencent alors à divulguer des informations critiques. Peut-être pire encore, elles peuvent télécharger des logiciels espions sur leurs ordinateurs. Ces logiciels permettront aux pirates d’infiltrer les ordinateurs en question et de débloquer encore plus d’informations.

Si les personnes contactées se mettent à poser des questions, les escrocs prétendent être nouveaux (ce qui justifie qu’on ne les connait pas) ou que leur appel est critique pour la sécurité de l’entreprise (ce qui justifie d’agir vite… et sans poser de questions).

Le phishing ciblé

Le phishing ciblé est la première des 4 nouvelles techniques dont nous allons parler dans notre dossier spécial de l’été.

Au cours des dernières années, le phishing ciblé a progressé pour devenir peu à peu l’une des grandes tendances des arnaques en ligne. Il s’agit d’une technique utilisée par les escrocs pour viser spécifiquement un individu ou une entreprise. Le but n’étant quant à lui pas nouveau puisqu’il s’agit d’accéder à des informations ou à des comptes bancaires.

phishing ciblé

Dans une tentative d’hameçonnage classique, l’escroc va envoyer des milliers de courriels à des inconnus en espérant qu’une ou deux personnes vont être prises au piège. Cette fois-ci, dans une tentative de phishing ciblé, le fraudeur va se concentrer sur une victime, en travaillant son « attaque » pour présenter des arguments convaincant qui pourront berner sa proie et lui faire communiquer des informations secrètes.

Une arnaque plus subtile

Dans ce scénario, l’escroc est aussi doté de connaissances en piratage informatique. Il doit d’abord être en mesure de pénétrer dans la boîte e-mail d’une victime sans méfiance. Mais, une fois introduit dans le compte courriel, au lieu de faire une razzia sur les données et de quitter le compte rapidement, le criminel prend le temps d’analyser les informations qu’il trouve.

Ensuite, le pirate se fait passer pour une entreprise importante, comme une banque ou EDF. Il envoie alors un e-mail personnalisé à la personne à qui il a précédemment piraté la boite mail en expliquant l’existence d’un problème avec le compte de la victime. Il prend alors soin d’inclure des détails probant comme le numéro de compte de la victime qu’il aura trouvé dans de vrais courriels de banques ou d’EDF.

L’escroc pousse alors la victime à changer rapidement son mot de passe via un lien fourni dans le courriel. L’escroc est ensuite capable d’accéder au compte de la personne.

Redoubler de vigilance lorsque vous recevez un mail d’une entreprise dans laquelle vous êtes client et qui évoque un problème avec votre compte, il pourrait s’agir d’un phishing ciblé. La meilleure stratégie consiste à appeler cette entreprise par téléphone pour avoir une confirmation.

Notre prochain article traitera des arnaques aux services informatiques. Rendez-vous dans quelques jours.