Nos données bancaires ont été modifiées...

L'hameçonnage (phishing) est une forme de fraude en ligne dans laquelle l’arnaqueur induit la victime en erreur au moyen de courriels et/ou de sites Web ayant un aspect officiel et visant généralement à « pêcher » des données de connexion ou des données de cartes de paiement. Il est intéressant de savoir que le terme phishing est une combinaison de phishing (pêcher) et de phreak (phone + freak : pirate téléphonique).

Illustration 1 - Incidents cybernétiques mentionnés (Europol EC3)

Les types d'hameçonnage suivants touchent également les PME

Dans le phishing bancaire, un expéditeur frauduleux cherche à vous tromper pour vous inciter à partager vos données personnelles, financières ou de sécurité avec lui. Il suffit de penser aux comptes bancaires, aux numéros de cartes de paiement et aux codes secrets. En copiant les logos et la mise en page de véritables courriels et en utilisant un langage menaçant et/ou des délais impératifs, les arnaqueurs tentent de vous convaincre de télécharger une pièce jointe ou de cliquer sur un lien. Les pièces jointes contiennent souvent des logiciels malveillants, alors que les liens renvoient généralement à une copie frauduleuse d'un site Web officiel (par exemple d’e‑banking). L’arnaqueur essaie de voler vos données de connexion de ces deux manières. Vous en trouverez un exemple ici.

Dans le cadre du Business Email Compromise (BEC), également connu sous le terme fraude au P.D.G., un collaborateur qui est autorisé à effectuer des paiements est abusé pour l’amener à payer une fausse facture. Ou vous êtes invité(e) par la voie d’un faux courriel du P.D.G. à effectuer un virement du compte de l’entreprise au compte d’un arnaqueur. Vous en trouverez un exemple ici.

Dans le cas de la fraude à la facture, une personne se fait passer pour votre fournisseur, un prestataire de services ou un créancier et vous envoie une fausse facture ou demande d’adapter les données bancaires d'un bénéficiaire connu, de sorte que les futurs paiements de factures arrivent sur le compte de l’arnaqueur. Vous en trouverez un exemple ici.

Dans le smishing (SMS + phishing), les arnaqueurs vous envoient un SMS avec un lien vers un faux site Web. Dans le vishing (voice + phishing), ils vous appellent personnellement pour tenter d'obtenir des données personnelles, financières ou de sécurité ou pour que vous leur transfériez une somme d’argent.  Vous en trouverez un exemple ici.

Conclusion

Ce qui précède prouve une fois de plus que le maillon humain reste une cible intéressante pour les cybercriminels. La formation en « Security awareness » (une formation à la lutte contre ces pratiques) pour l’ensemble du personnel (y compris le management) reste importante, mais nécessite une refonte pour rendre l'ensemble plus attrayant et plus clair que les présentations PowerPoint répétitives.

Pour les formations à la lutte contre ces pratiques, y compris les tests sur le phishing, des informations complémentaires et d’autres questions sur le phishing ou la cybersécurité en général, n’hésitez pas à contacter le département Vandelanotte Security & Privacy à l’adresse e-mail cyber@vdl.be. Nous discuterons de vos questions ou vos préoccupations et nous établirons une offre de services personnalisée avec vous.