Professionnels : les nouvelles menaces cybercriminelles
La cybercriminalité est un problème majeur qui touche toutes les entreprises, quelle que soit leur taille ou leur secteur d'activité. Les professionnels, tels que les artisans, les professions libérales et les commerçants, sont souvent la cible privilégiée des cybercriminels. Quelles sont les nouvelles menaces de la cybercriminalité qui touchent les professionnels et leurs collaborateurs, et comment s’en prémunir ?
LE CYBERSQUATTING
Le « cybersquatting » est une pratique malveillante qui consiste à enregistrer un nom de domaine (identifiant du site internet, par exemple www.monentreprise.fr) similaire ou identique à celui d'une entreprise, d'une marque ou d'une personnalité publique, dans le but de collecter des données personnelles et de s'enrichir en tirant profit de la notoriété de celle-ci.
A l’origine, le cybersquatting désigne surtout l’achat du nom de domaine d’une marque connue, avant que cette dernière n’ait pensé à le réserver. Le cybersquatteur n’a alors plus qu’à revendre le nom de domaine à son propriétaire légitime contre une forte somme d’argent ou l’utiliser pour diriger le trafic internet vers son propre site Web, le plus souvent pour revendre des produits contrefaits.
Il existe plusieurs scénarios pouvant être mis en place :
- Le typosquatting : la plupart des utilisateurs d'Internet commettent fréquemment des erreurs de frappe ou « erreurs typographiques », dont certaines sont très courantes (par exemple, omettre le « s » à la fin du mot « particuliers » dans l’adresse particuliers.sg.fr). Les typosquatteurs peuvent tirer parti de ces étourderies en achetant des noms de domaines proches des noms officiels mais contenant une faute de frappe, comme particulier.sg.fr au lieu de particuliers.sg.fr, par exemple, pour diriger les internautes vers un site d’hameçonnage qui leur permettra de dérober des données personnelles (identifiant de connexion, mot de passe, …)
- Les annonces malveillantes : les internautes utilisent fréquemment des moteurs de recherche pour ne pas avoir à mémoriser l'adresse ou le nom de domaine du site d'une marque ou d'une entreprise. Les fraudeurs tirent parti de cette habitude en plaçant en tête des résultats d'une recherche, des annonces malveillantes contenant un lien proche de l'adresse du site internet recherché. Ces annonces dirigeront vers des pages frauduleuses où les escrocs inciteront les utilisateurs à communiquer leurs informations personnelles (numéro de téléphone, nom, prénom…) et/ou bancaires (identifiant, mot de passe, numéro de la carte bancaire / du compte…) dans le but de les utiliser à des fins malveillantes. Il peut s'agir par exemple, d'annonces malveillantes contenant des liens de connexion proches de l'adresse officielle du site internet particuliers.sg.fr restituées dans les résultats des moteurs de recherche web. Ces annonces frauduleuses visent à diriger les clients SG vers un site internet ressemblant à leur Espace Client en vue de leur soutirer code client et code secret.
Les bons réflexes à adopter pour se protéger du cybersquatting :
- Enregistrez l’adresse internet dans vos favoris ou saisissez-la dans la barre d’adresse située dans l’en-tête de votre navigateur internet;
- Avant de cliquer sur un lien ou sur un bouton, survolez-le avec votre souris pour vérifier l’adresse internet vers laquelle vous serez redirigé;
- Pour identifier les adresses internet malveillantes, prêtez attention aux fautes de frappe, à la présence de lettre(s) mal placée(s) ou de caractères spéciaux, aux inversions de noms ainsi qu’aux extensions « .fr », « .com », « .eu »;
- Privilégiez l’utilisation des applications dont L’Appli SG PRO, en les téléchargeant au préalable uniquement depuis les stores officiels.
LE VISHING
Le « vishing » ou hameçonnage par téléphone est une arnaque téléphonique utilisant le plus souvent des techniques d’ingénierie sociale (usurpation d’identité) dont le but est de faire réaliser des opérations frauduleuses ou de soutirer des informations personnelles et/ou bancaires. La finalité est identique à celle du « phishing » qui repose quant à elle sur l’envoi d’e-mails frauduleux alors que le vishing s’appuie sur des appels téléphoniques frauduleux.
Notez que les fraudeurs sont parfaitement capables d’afficher le numéro de téléphone de la personne ou de l’entreprise dont ils usurpent l’identité. Le numéro et la localisation de l’appel, tout comme l’identité de l’appelant, ne sont pas un gage de sécurité.
Par ailleurs, ils disposent le plus souvent d’informations personnelles vous concernant, pour tenter de vous rassurer et de gagner votre confiance.
Les bons réflexes à adopter pour se protéger du vishing :
Consulter l'article « Appels frauduleux : les pros ne sont pas épargnés (sg.fr) » afin de découvrir ces réflexes.
LA FRAUDE AU FAUX COURSIER
La fraude au faux coursier est un type d’arnaque un peu plus sophistiqué qui se produit en deux temps et dont l’objectif est de récupérer physiquement votre carte bancaire :
- Dans un premier temps, l’escroc contacte sa cible par téléphone pour la prévenir que sa carte bancaire a été piratée ou que celle-ci présente un dysfonctionnement et lui demande son code secret pour vérifier qu’il s’agit bien de la bonne carte.
- Puis il propose l’envoi d’un coursier pour récupérer la carte bancaire. Une fois en possession de la carte et de son code, le faux coursier (l’escroc) procédera à des achats et des retraits frauduleux. La victime ne se rendra compte de la supercherie que plus tard, en constatant les opérations frauduleuses au débit de son compte ou en se rendant dans son agence bancaire.
Les bons réflexes à adopter pour se protéger de la fraude au faux coursier :
- Ne cédez pas au caractère urgent et pressant de la demande, raccrochez et appelez votre Conseiller SG en utilisant ses coordonnées habituelles (celles-ci figurent dans votre Espace Client ainsi que sur vos relevés de compte bancaire);
- En cas de doute, ne réalisez aucune action (annuler, bloquer, valider ou confirmer une opération par exemple à l’aide de votre Pass Sécurité Pro sur injonction d’un tiers) et ne divulguez aucune information personnelle et/ou bancaire (identifiants bancaires, code carte bancaire, etc.);
- Si une personne a pris connaissance de votre code secret, opposez immédiatement votre carte sur L’Appli SG PRO ou en contactant le service carte;
- Si vous êtes amené à détruire votre carte bancaire, assurez-vous de bien découper la puce électronique* ainsi que la bande magnétique (qui contient les informations personnelles);
- Enfin, il est interdit de prêter votre carte bancaire ou de s’en déposséder : elle est personnelle.
*Attention, une carte avec option crypto dynamique ne doit en aucun cas être pliée, découpée, brûlée, percée ou jetée à la poubelle : vous devez la déposer dans une agence bancaire SG la plus proche. Sachez que SG n’enverra jamais de coursier à domicile pour récupérer et détruire votre carte bancaire, avec ou sans option crypto dynamique.
LE SPOOFING
Le « spoofing » est une technique de cybercriminalité qui vise à vous mettre en confiance en usurpant l'adresse e-mail de l’expéditeur ou le numéro de téléphone d’une personne légitime (par exemple votre conseiller bancaire) ou d'un organisme reconnu (par exemple l’Assurance Maladie « Ameli », le Trésor public, etc.).
Plus concrètement, les fraudeurs vont tenter de gagner votre confiance en « maquillant » leur véritable numéro d’appel et le remplacer par le numéro de téléphone de l’organisme ou de la personne usurpée. Le numéro et la localisation de l’appel, tout comme l’identité de l’appelant, ne sont pas forcément un gage de sécurité.
En vous donnant l’impression d’être en contact avec votre interlocuteur légitime, l’escroc tente de diminuer votre vigilance face à ses tentatives frauduleuses (le spoofing venant le plus souvent en complément d’autres manœuvres, par exemple le phishing/smishing (e-mail et SMS frauduleux) et/ou vishing (appel frauduleux) pour obtenir de vous la divulgation d’informations personnelles ou la réalisation d’une action.
Les bons réflexes à adopter pour se protéger du spoofing :
- En cas de doute lors d’un appel téléphonique, ne cédez pas au caractère urgent et pressant de la demande, raccrochez et appelez votre Conseiller SG en utilisant ses coordonnées habituelles (celles-ci figurent dans votre Espace Client ainsi que sur vos relevés de compte bancaire);
- Ne répondez pas aux e-mails suspects et n’ouvrez aucune pièce jointe;
- De manière générale, ne réalisez aucune action (annuler, bloquer, valider ou confirmer une opération par exemple à l’aide de votre Pass Sécurité Pro sur injonction d’un tiers) et ne divulguez aucune information personnelle et/ou bancaire (identifiants bancaires, code carte bancaire, etc.) par e-mail/SMS ou appel s’il vous semble suspect;
- Sensibilisez les collaborateurs pour leur apprendre à repérer les e-mails/SMS et appels suspects.
LE PHISHING / SMISHING
Le phishing et le smishing consistent à vous envoyer un e-mail ou un SMS en se faisant passer pour un organisme reconnu (votre banque, un fournisseur, un partenaire…) ou un établissement public (le Trésor public, La Poste, l’URSSAF…).
Le but est de vous inciter à cliquer sur des pièces jointes ou des liens malveillants pour ensuite récupérer vos informations personnelles, professionnelles et/ou bancaires. Une fois les informations obtenues, les fraudeurs peuvent les utiliser pour commettre des fraudes bancaires, usurper votre identité ou celle de votre société, ou d'autres formes d’escroquerie.
Quelles sont les attaques de phishing les plus susceptibles de viser un client SG ?
-
Les messages frauduleux visant le Pass Sécurité Pro
Il peut s’agir d’e-mails ayant pour objet « Pass Sécurité Pro », « Découvrez le PASS », « Activer votre nouveau service », etc. qui vous incitent à découvrir ou installer le Pass Sécurité Pro.
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS de phishing destinés à vous rediriger sur un faux site Internet et de collecter des informations personnelles via un formulaire. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle, sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à vos moyens de sécurité. -
Les messages de mise à jour de vos données
Cette catégorie de phishing vous propose de mettre à jour vos données bancaires, votre Espace Client ou votre système de sécurité (antivirus, version de logiciels…). Ces messages mentionnent toujours le terme « Mise à jour », « Mettre à jour » « Mettre à jour DSP2 » ou « Suite à la réglementaire DSP2, mettre à jour... » mais peuvent aussi avoir un objet plus générique comme « Vous avez un nouveau message ».
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS de phishing destinés à vous rediriger sur un site Internet factice pour collecter vos informations personnelles via un formulaire. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à la gestion de vos comptes, à votre carte bancaire ou à vos moyens de sécurité. -
Les fausses demandes de consultation et de vérification
Ces messages frauduleux présentent des nouveautés SG, des informations à consulter ou un message de votre Conseiller SG. Ils s’intitulent par exemple : « Votre Espace Client évolue », « Votre identifiant évolue », « Vous avez un nouveau message de votre Conseiller », « Message non lu », « Votre facture XXX », « Changez de RIB », etc.
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS pièges destinés à vous connecter sur un Espace Client factice, afin de subtiliser vos codes au moment de la connexion. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à la vérification de vos comptes. -
Les e-mails pièges relatifs à la réalisation d’opérations
Ces e-mails malveillants concernent des opérations réalisées ou en cours de réalisation sur votre compte. Ils s’intitulent par exemple : « Votre compte est temporairement bloqué », « Une anomalie sur votre compte », « Annulation de virement », « Opposition de votre carte bancaire », etc.
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS de phishing destinés à vous rediriger sur un site Internet factice pour collecter vos informations personnelles via un formulaire. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à la gestion de vos comptes ou à votre carte bancaire.