En ce 8 octobre, 2019, photo d'archives qu'une femme tape sur un clavier à New York. Les escroqueries par hameçonnage qui infectent un ordinateur et permettent potentiellement aux pirates d'envahir des comptes bancaires et autres sont hautement évitables, mais il faut une vigilance éternelle de la part des utilisateurs d'ordinateurs. (AP Photo/Jenny Kane, Déposer)
L'e-mail semblait légitime, donc Danielle Radin a cliqué sur le lien qu'il contenait, s'attendant à ce que ses produits soient inclus dans un guide de cadeaux de vacances.
"Je l'ai immédiatement regretté, " dit Radin, propriétaire de Mantra Magnets, un site Web qui vend des produits de bien-être. "Cela m'a amené à un site Web aléatoire qui ressemblait à ces pop-ups vous disant que vous avez gagné à la loterie."
Quelques jours après ce clic il y a trois semaines, Radin a commencé à recevoir des notifications indiquant que les habitants de l'Équateur, La Chine et d'autres tentaient d'accéder à son compte de messagerie. Elle n'était pas surprise; elle savait que sa petite entreprise basée à San Diego avait été la cible d'une escroquerie par hameçonnage.
Alors que les cybercriminels frappent à tout moment de l'année, ils sont particulièrement actifs pendant les périodes de vacances et de déclaration de revenus, lorsque les utilisateurs d'ordinateurs s'attendent à voir plus d'e-mails, et les escrocs ciblent de plus en plus les petites entreprises individuelles avec des escroqueries par hameçonnage, envoyer des messages qui semblent légitimes mais qui font plutôt du mal. Un propriétaire ou un employé sans méfiance clique sur un lien ou une pièce jointe et, comme Radin, découvre qu'un logiciel malveillant a envahi son PC.
Les experts en cybersécurité constatent que les criminels qui couvraient des milliers d'utilisateurs d'ordinateurs dans l'espoir d'en tromper une poignée ont affiné leurs méthodes. Les escrocs trouvent de petites entreprises via des sites Web, sites de médias sociaux et en passant au peigne fin les carnets d'adresses électroniques. Ils extraient également les données personnelles des violations chez les détaillants et autres grandes entreprises. Puis, en utilisant un processus appelé ingénierie sociale, ils construisent des emails de plus en plus réalistes, comme s'ils venaient vraiment d'un patron, collègue, ami, client ou fournisseur potentiel, une banque et même l'IRS.
"Au cours des deux dernières années, ils ont mené des campagnes plus professionnelles, " dit Perry Toone, propriétaire de Thexyz, un fournisseur de services de courriel basé à Toronto. « Cela peut me prendre quelques minutes pour déterminer qu'il s'agit d'escroqueries par hameçonnage. Cela me dit qu'ils font du très bon travail.
Radin pense que les escrocs l'ont trouvée via son site Web ou un blog. Comme beaucoup de petites entreprises, elle a une adresse e-mail sur son site, et les escrocs ont compris qu'elle pourrait être intéressée à vendre via un guide de cadeaux de vacances. Mais trouver une cible est une chose; l'escroquerie ne fonctionnera que si elle incite un destinataire d'e-mail à cliquer. Même ceux qui sont férus de technologie peuvent parfois baisser leur garde. Radin a été dupée même si elle est l'auteur de "Everyone's Been Hacked, " un livre vendu en ligne.
Souvent, une arnaque réussit parce qu'il n'y a qu'un soupçon de doute chez un utilisateur d'ordinateur :l'e-mail est suffisamment réaliste pour qu'un propriétaire ou un employé ressente le besoin de le lire. Parfois, un membre du personnel clique par peur ou par sens des responsabilités, dit Rahul Telang, professeur de systèmes d'information au Heinz College de l'Université Carnegie Mellon.
"Cela peut ne pas sembler très personnel, mais vous avez une idée que vous devriez aller de l'avant - vous avez l'impression que l'e-mail vient du patron, " il dit.
Sur cette photo non datée fournie par Danielle Radin, Radin pose pour une photo. Alors que les cybercriminels frappent à tout moment de l'année, ils sont particulièrement actifs pendant les périodes de vacances et de déclaration de revenus, lorsque les utilisateurs d'ordinateurs s'attendent à voir plus de courriels, et les escrocs ciblent de plus en plus les petites entreprises individuelles avec des escroqueries par hameçonnage, envoyer des messages qui semblent légitimes mais qui font plutôt du mal. Un propriétaire ou un employé sans méfiance clique sur un lien ou une pièce jointe et, comme Radin, découvre qu'un logiciel malveillant a envahi son PC. (Danielle Radin via AP)
Les utilisateurs d'ordinateurs ne regardent peut-être pas aussi attentivement qu'ils le devraient un e-mail - il peut y avoir des signes subtils qu'un message pose problème. Terry Cole, propriétaire de Cole Informatics, une entreprise dont le travail inclut la cybersécurité, se souvient avoir reçu un e-mail qui semblait vraiment provenir d'un collègue. Il était l'une des nombreuses personnes de l'industrie à le recevoir.
"Il a dit que ce collègue m'avait envoyé un message privé sécurisé qui était prêt à être lu et comprenait un lien à cliquer. Cela était tout à fait cohérent avec mes expériences normales de communication avec lui, " dit Cole, dont la société est située à Parsons, Tennessee.
Cole n'a pas fait dans ce cas ce qu'il fait habituellement et conseille à tout le monde de faire :vérifier l'adresse e-mail pour être sûr qu'elle est tout à fait correcte. Lorsqu'il a cliqué sur le lien, il l'a emmené sur un faux site Web prétendant être connecté à Microsoft et lui demandant son identifiant et son mot de passe. Il n'est pas allé plus loin et n'a subi aucun dommage sur son PC.
Les vacances offrent aux escrocs des opportunités supplémentaires :cartes de vœux envoyées par e-mail, avis d'expédition de colis, offres de remises, toutes fausses. Les cybercriminels recherchent également des informations personnelles auprès des propriétaires et des employés sous prétexte d'avoir besoin d'eux pour créer un formulaire fiscal W-2 ou 1099 ; à cette époque de l'année, les pensées des propriétaires d'entreprise se tournent vers les impôts.
"Quelque chose qui prétend te connaître, votre nom, où vous travaillez et souhaitez que vous preniez des mesures est plus difficile à repérer, " dit Sherrod DeGrippo, directeur principal de la recherche et de la détection des menaces chez Proofpoint, une entreprise de cybersécurité basée à Sunnyvale, Californie.
Une arnaque courante pendant les vacances est un e-mail prétendument du patron disant à un membre du personnel d'aller acheter des cartes-cadeaux et de renvoyer les numéros par e-mail, dit DeGrippo.
"Quand cela semble venir d'un patron ou d'un PDG, Je pense que les employés ont tendance à suivre ces directives. Ils jouent sur leurs émotions, " elle dit.
Souvent, une arnaque réussit à amener un employé à cliquer sur un e-mail personnel alors qu'il se trouve sur un PC de l'entreprise. De nombreux employés consultent leur e-mail personnel au travail. Même si l'e-mail est arrivé sur un message personnel, c'est la machine de l'entreprise qui peut être infectée.
Les entreprises peuvent se protéger en partie en restreignant l'accès des employés aux sites de messagerie personnels, dit Telang. Il suggère également des séminaires pour aider les membres du personnel à comprendre les risques que même les e-mails d'apparence légitime peuvent présenter.
Certaines des escroqueries visent à surveiller les frappes d'un utilisateur. Ainsi, toute personne accédant à une entreprise ou à un compte personnel de quelque sorte que ce soit peut donner un accès criminel à son argent ou à ses données personnelles sensibles. Un outil pour empêcher qu'un compte bancaire ne soit vidé ou qu'une carte de crédit soit saturée est d'avoir des comptes avec authentification multifactorielle; qui nécessite un mot de passe et un code séparé envoyé à un appareil différent et qui est différent pour chaque connexion.
© 2019 La Presse Associée. Tous les droits sont réservés.
