fbpx

Online Climate

Appui aux administrations publiques, aux banques, aux compagnies de téléphonie mobile et surtout aux citoyens africains pour lutter contre les escroqueries sur Internet.

par · Publié · Mis à jour

Nombre de visiteur: 317

Avec le développement des nouvelles technologies nous sommes tous exposés à des risques pour notre sécurité numérique personnelle et professionnelle.

Étant dans beaucoup de plateformes de médias sociaux en Afrique notamment Whats App, imo, Telegram etc…, j’ai fait des constats qui sont les suivants :

  • Beaucoup de messages nous invitant à nous inscrire pour bénéficier d’une offre (argent voiture, visa, etc…).
  • Beaucoup de messages nous invitant à télécharger des pièces jointes.

Dans la téléphonie mobile également, j’ai constaté beaucoup d’arnaques via les SMS et les appels téléphoniques vous disant que votre numéro de téléphone orange money ou mobile money est bloqué il faut fournir certaines informations pour le débloquer. C’est la même chose pour les personnes détentrices des comptes bancaires.

La population n’étant pas sensibilisée, le plus souvent tombe dans leurs pièges en fournissant les informations même les plus sensibles.

J’ai également constaté qu’au niveau des administrations publiques, cet enjeu cyber n’est pas pris au sérieux car rare qui sont sensibilisés et qui évaluent les risques auxquels s’exposent les États face aux menaces cyber. Même les secteurs les plus sensibles comme les ministères de la défense, de la sécurité, de l’Éducation nationale, de la fonction publique, de la santé, etc.

Face à cela, j’ai décidé d’accompagner tout le monde pour lutter contre les menaces cyber et les arnaques sur internet notamment :

  • Les administrations publiques.
  • Les entreprises exerçant une activité de service public.
  • Les banques.
  • Les sociétés de téléphonies mobiles.
  • Les populations.
  • Etc.

Dans cette thématique je parlerai de l’arnaque la plus récurrente et comment s’en prémunir notamment le phishing.

Le phishing, c’est quoi ?

1. Le phishing ou hameçonnage : définition

L’hameçonnage ou phishing en anglais est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.

2. Quels sont les différents types d’hameçonnage ?

Il existe en effet plusieurs catégories d’hameçonnage notamment : le phishing par e-mail, par appel téléphonique, par SMS…

Retrouvez ci-dessous une liste non exhaustive des catégories de phishing les plus courantes : 

1. Le phishing par e-mail

L’email phishing se distingue par le mot « e-mail » car les différents types de phishing qui sont apparus sur le web depuis les années 90 l’imposent. L’e-mail phishing qui est maintenant devenu un type de phishing, est à l’origine de toutes les déclinaisons d’hameçonnages qui existent aujourd’hui. Tout se passe donc par courrier électronique, avec le schéma classique.

Un e-mail imitant une source fiable ou institutionnelle vous invite à cliquer sur un lien ou régler un montant en saisissant vos coordonnées bancaires.

2. Le smishing, ou l’hameçonnage par SMS

Contraction des mots « SMS » et « phishing », le smishing est une technique répandue qui consiste à envoyer un message sur un téléphone portable avec un SMS, qui contient un lien frauduleux et/ou un numéro de téléphone à rappeler, généralement en urgence.

3. Le vishing, ou l’hameçonnage vocal

Contraction des mots « voice » et « phishing », le vishing est une déclinaison par appel téléphonique du phishing. 

Pour réaliser un vishing, les cybercriminels utilisent des numéros de téléphone frauduleux, ils peuvent aussi utliser des logiciels pour modifier leur voix, des messages texte ou encore des techniques d’ingénierie sociale pour inciter les utilisateurs à divulguer des informations sensibles. Le but reste le même, vous amener à dévoiler des informations personnelles ou vos coordonnées bancaires. 

Exemple : Vous recevez un appel de la part d’un salarié chez Microsoft ou de votre Antivirus vous indiquant que vous êtes en ce moment, victime d’un antivirus. Pour résoudre ce problème, il vous faut absolument mettre à jour votre système, et/ou réinstaller votre antivirus.

Ce qui est faisable dès maintenant avec votre faux agent au téléphone, moyennant un paiement en ligne, pour lequel il aura besoin de vos coordonnées bancaires. 

L’occasion pour le pirate de prendre vos coordonnées bancaires, et, d’installer un logiciel malveillant (Malware) sur votre PC pour vous voler ensuite plus de données.

4. Le whaling, ou l’hameçonnage de « gros poisson »

Contraction des mots « whale » qui signifie baleine en anglais et de « phishing », le whaling est un type de phishing qui ciblent la plus part du temps les entreprises, et plus particulièrement, les ressources situées au plus haut niveau de l’organigramme, à savoir les PDG, directeurs financiers ou autres directeurs ayant de grandes responsabilités, et idéalement, accès aux comptes de la société.

Exemple : un e-mail reçu stipule que l’entreprise du destinataire est poursuivie en justice.

Il doit cliquer sur le lien contenu dans cet e-mail afin d’obtenir plus d’informations. Le clic sur le lien redirige alors le destinataire vers un faux site officiel, ou devront être remplis le numéro d’identification fiscale, le numéro de compte bancaire etc, dans le but de régulariser la situation de l’entreprise et de payer une amende pour annuler les fausses poursuites.

5. Le spear phishing, ou « Harponnage »

Le harponnage est une méthode pour faire une attaque de phishing. Pas d’e-mail envoyé en masse cette fois, l’attaque est très ciblée. Cette attaque est méthodique et peu d’ailleurs s’organiser en groupe de pirates. Il s’agit plus généralement d’une attaque sur un haut fonctionnaire, ou des personnes détenant des secrets d’État, des secrets industriels. 

Basée sur de l’espionnage, le ou les pirates vont donc s’introduire dans le système informatisé d’une personne pour connaitre ses pratiques de connexion, ses recherches, ses temps de connexion, ses habitudes en ligne, son emploi du temps etc. 

La compréhension de la cible va permettre au pirate ou à son groupe de définir l’angle le plus efficace pour hameçonner la victime, et lui faire dévoiler les informations confidentielles qu’il détient en fonction de multiples variables. Les pirates vont mêmes jusqu’à infiltrer les réseaux sociaux pour observer quels sont les centres d’intérêts de leur cible, quelles sont ses préoccupations personnelles, ses points de vigilance etc.

6. Le spamdexing, ou phishing par moteur de recherche

Contraction du mot « spam » et du mot « index » pour l’indexation sur les moteurs de recherches, cette pratique frauduleuse consiste à vous amener sur un site frauduleux lors de votre recherche sur internet, en indexant en premier résultat de recherche, son lien frauduleux.

Une fois attiré sur un faux site internet, toutes les interactions avec les liens ou les pages qui en font partie sont exploitables par les pirates. Ils peuvent d’ailleurs se faire passer pour le chatbot du site pour que vous communiquiez toujours plus d’informations sur vous, pour récolter des données sensibles ou des données bancaires par exemple.

Ces sites pirates peuvent se faire passer pour n’importe quel site web, mais la tendance se porterait vers les imitations de site des banques, les imitations de site pour le transfert d’argent, avec des liens piégés qui devraient vous conduire vers les réseaux sociaux, ou encore les faux sites d’achat en ligne.

7. L’hameçonnage sur les réseaux sociaux

Le but est de capter les victimes depuis des réseaux sociaux tels que Facebook, Instagram, Twitter, LinkedIn ou encore WhatsApp, imo, telegram. Soit pour vous faire cliquer au mauvais endroit et voler vos données personnelles, ou bien pour prendre le contrôle de votre propre compte sur les réseaux sociaux, et donc, usurper votre identité.

3. L’hameçonnage en Afrique : les pratiques les plus répandues

1. Les messages d’escroquerie à la livraison de colis 

Pour ce cas, la victime reçoit un message par e-mail ou par SMS, qui semble provenir de sociétés de transport connues. Les messages reçus par SMS affichent généralement :

  • un nom d’expéditeur 
  • le nom d’un service de livraison connu,
  • un numéro de téléphone qui ressemble à ceux utilisés par les vrais services de livraison.

Ce message déclare qu’un colis doit vous être livré et que vous devez payer des frais de port ou d’expédition, de TVA ou de douane pour qu’il vous parvienne. 

Un petit montant est réclamé, ce qui incite la victime à en effectuer le paiement, en cliquant sur le lien partagé. 

Ce lien redirigera donc vers un site internet frauduleux en usurpant l’identité de l’entreprise de livraison. Lors du faux processus de paiement, il sera donc demandé à la victime des informations personnelles comme son identité, son adresse postale et/ou électronique, un numéro de téléphone, des coordonnées de carte bancaire, le tout pour régler les prétendus frais de livraison ou douane réclamés.

2. Les messages d’hameçonnage visant les comptes et les cartes bancaires 

La sécurité des moyens de paiement est au cœur du process des cybercriminels, qui utilisent un faux système de sécurisation de paiement pour pouvoir abaisser un peu plus la vigilance de leurs victimes à faire une transaction en ligne. 

3. Les arnaques aux faux supports techniques, ou « Tech Support Scam »

Le principe est de faire peur à la victime en lui adressant un message (par SMS, téléphone, chat, courriel, ou par l’apparition d’un message sur l’écran de la victime qui bloque son ordinateur) en lui indiquant :

  • un problème technique grave, 
  • un risque de perte de ses données 
  • la perte de l’usage de son équipement 

Cela doit conduire la victime à contacter le prétendu support technique officiel pour le dépanner. Vous l’aurez compris, le pseudo-dépannage informatique et/ou l’achat des logiciels parfois nuisibles recommandés par le faux dépanneur sont payants. Comme élément de pression supplémentaire, si la victime refuse de payer, les cybercriminels se réserve des dernières cartes pour faire plier la victime qui vont de la destruction ou à la perte des fichiers, à la divulgation de ses informations personnelles.

4. L’hameçonnage par SMS, ou smishing et cela concerne tous types d’organisations à but lucratif, mais aussi les associations, ou encore l’administration.

4. Que font les hackers de vos données ?

Malheureusement, il n’y a qu’une seule réponse possible à cette question : les hackers feront ce qu’ils veulent de vos données.
 
A partir de l’ouverture de ce lien, votre PC sera infecté, et vos données seront accessibles via le logiciel malveillant dans votre appareil électronique ou depuis votre messagerie, et pourront être exploitées par le(s) pirate(s).

1. Quels sont les types de données recherchés et volés par les hackers ? 

a- Les données personnelles :

Si un hacker ou bien un collectif de hackers peut mettre la main (et les yeux) sur vos e-mails, alors jusqu’à quand peuvent-ils éplucher votre vie personnelle dans le temps ? Dites-vous bien qu’en ouvrant votre messagerie, ils peuvent même accéder à vos brouillons, à vos e-mails archivés et à vos spams.

Il ne faut pas chercher bien loin pour imaginer qu’un pirate puisse accéder à des informations très sensibles, et se livre à du chantage, pour :

  • vous contraindre à dévoiler davantage d’informations sur votre employeur ou sur votre administration,
  • vous pousser à verser des sommes d’argent pour ne pas dévoiler certains éléments de votre vie passée,
  • vous dévoiler votre historique de recherche à votre employeur ou à vos proches,
  • pour récupérer des photos personnelles de vous et/ou de votre entourage,
  • pour accéder à toujours plus de comptes personnelles par exemple les réseaux sociaux,
  • pour revendre vos données sur le Dark Web, à d’autres hackers par exemple…

b- Les données professionnelles

Vous êtes un individu, et êtes aussi probablement un salarié, ou travaillez pour le compte d’une organisation à but non lucratif, pour une entreprise privée ou pour l’administration publique.

Les hackers peuvent en effet cibler le personnel d’une entreprise par l’intermédiaire de leur boite mail professionnelle par exemple. 

Ce type d’attaque peut être motivé par de nombreuses raisons.

Un hacker pourra par exemple divulguer des informations sensibles de votre entreprise à travers vos échanges d’e-mail, voir même effectuer des paiements si accède aux coordonnées bancaires de votre société. 

Le ou les hackers pourraient tout aussi bien essayer d’accéder aux réseaux des entreprises pour les espionner et les infecter avec des programmes malveillants.

c- Les données bancaires

Votre carte bancaire et donc, votre compte chèque ne vous appartient plus. Enfin, il ne vous appartient plus vraiment si l’on considère qu’un compte bancaire ne doit pas être partagé avec un(e) inconnu(e). Avec l’hameçonnage, les victimes sont souvent amenées à communiquer leurs coordonnées bancaires aux hackers, en pensant régler une facture à l’administration, ou à un fournisseur habituel du type fournisseur d’accès à internet par exemple. Cela peut même provenir d’un site marchand, si vous entrez vos coordonnées bancaires en pensant finaliser une commande passée sur Amazon, Ebay, Wish, Alibaba, Shein etc.

d- Les données confidentielles et secret défense

Les Etats sont eux-mêmes dotés d’hackers, appelés Ethical Hackers ou hackeurs éthiques. Plus exactement, les administrations sont dotées d’une cyber défense et de départements en cybersécurité pour lutter contre les cyberattaques, la cybercriminalité, le vol, l’espionnage et tous types d’intrusions au niveau de l’Etat.

Les motivations sont nombreuses, et par conséquent, le nombre d’attaque de phishing le sont aussi, et les types de phishing eux aussi se sont multipliés !

5. Comment se protéger contre l’hameçonnage ?

1. Ne communiquez jamais d’informations sensibles par messagerie ou par téléphone

2. Avant de cliquer sur un lien douteux, survolez-le (sans cliquer !) 

Le fait de survoler ce lien affichera l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance (voir : en bas à gauche de votre fenêtre), ou bien, rendez-vous directement sur le site de l’organisme en question par un lien que vous aurez vous-même créé (et placé auparavant dans vos favoris par exemple).

3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur.

4. En cas de doute, contactez si possible directement l’organisme concerné

5. Vérifiez que vous êtes sur un site web sécurisé dont l’adresse commence par « https ».

6. Utilisez des mots de passe différents et complexes pour chaque site et application

7. Vérifiez les date et heure de dernière connexion à votre compte. Vous pourrez rapidement identifier si tout correspond avec vos dernières connexions.

8. Utilisez le filtre contre le phishing du navigateur internet ou sa fonctionnalité d’avertissement contre le phishing. Qu’il s’agisse de la liste noire, de la liste blanche, des mots clés à bannir, toutes ces fonctions aident à maintenir votre vigilance.

9. Activez la double authentification pour sécuriser vos accès.

En activant la double authentification, l’accès à vos données sera fait en deux temps :

  1. après la présentation de deux preuves d’identité distinctes (votre mot de passe habituel 
  2. avec le code unique ou une nouvelle clé de sécurité envoyée sur le numéro de téléphone du détenteur du profil ou du compte vers lequel on veut se connecter 

À chaque connexion à un autre appareil, ces éléments doivent être renseignés, sans quoi l’accès sera refusé.

10. Vérifiez scrupuleusement l’adresse d’expédition de vos courriels, l’URL du lien hypertexte, et de repérer les fréquentes fautes d’orthographe ou de syntaxe que contiennent ces e-mails. 

Il est en règle générale toujours déconseillé de renseigner ses coordonnées bancaires suite à la réception d’un e-mail de ce type.

11. Installez un logiciel anti-spam

12. Entrer manuellement l’adresse (URL) du site dans le navigateur pour être certain d’accéder à la source que vous souhaitez consulter sur le net,

13. Téléchargez vos applications uniquement sur les sites officiels,

14. Séparez vos usages personnels et professionnels. Tout concentrer au même endroit, c’est tout rendre vulnérable en cas de cyberattaque,

15. Évitez les réseaux WiFi publics ou inconnus,

16. Ne laissez surtout pas la main à n’importe quel support technique si votre ordinateur tombe en panne,

17. Sensibilisez-vous, et informez-vous de manière continue.

Sensibilisez les employés, les responsables, les membres de collectivités, le grand public et les étudiants.

Restez informés, les pratiques malveillantes changent, et se modernisent, les techniques des cybercriminels et les cybercriminels sont de plus en plus nombreux, les moyens de protection eux aussi évoluent et nécessite une veille régulière pour se protéger et protéger ses données.

18. Suivez aussi l’actualité de Online Climate !

6. Victime d’hameçonnage, que faire ?

  • Au moindre doute, contactez l’organisme concerné : en cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
  • Faites opposition immédiatement : si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre organisme bancaire ou financier.
  • Conservez les preuves et, en particulier, le message d’hameçonnage reçu.
  • Déposez plainte : si vous avez constaté que des informations personnelles servent à usurper votre identité ou si vous constatez des débits frauduleux sur vos comptes bancaires,
  • Déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez.
  • Changez immédiatement vos mots de passe : si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis.

  • Signalez tout message ou site douteux en tant que Spam : si vous avez reçu un message douteux, ne cliquez pas sur les pièces jointes ou sur le lien suspect. Si le message comporte un lien, positionnez le curseur de votre souris sur ce lien (sans cliquer). Cela affichera alors la véritable adresse vers laquelle il redirige afin d’en vérifier la vraisemblance.
    Si vous avez cliqué sur le lien, vérifiez l’adresse du site Internet qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper.

thierno

Administrateur général du site et chargé de communication.

Vous aimerez aussi...