À l’approche de la Saint-Valentin, les cybercriminels sont passés à l’envoi d’e-cards enflammées et frauduleuses en délaissant les anciens e-mails sur des colis à aller récupérer ou des fausses factures.
Quand on parle d’amour et de romance, certains lieux sont tout simplement spéciaux à nos yeux. Ils surpassent de loin tous les autres comme destinations préférées pour une lune de miel ou une escapade romantique. Il en va de même pour l’hameçonnage. Certains lieux du monde sont plus populaires que d’autres quand il s’agit d’induire les utilisateurs en erreur et les pousser à cliquer sur ce fameux lien.
Les lieux sont très importants car l’industrie du hameçonnage change de stratégie pour ses dernières campagnes malveillantes. Certains lieux semblent particulièrement plus tentants que d’autres. À l’approche de la Saint-Valentin, les cybercriminels sont passés à l’envoi d’e-cards enflammées et frauduleuses en délaissant les anciens e-mails sur des colis à aller récupérer ou des fausses factures.
Les conditions d’hameçonnage varient par pays
Une étude de deux mois réalisée sur des tentatives d’hameçonnage bloquées, tirées d’un échantillon d’utilisateurs d’Avira, révèle des différences entre la plupart des pays dans les niveaux de tentatives d’hameçonnage. Toutefois, un pays surpasse tous les autres à la fois dans le nombre total de tentatives d’hameçonnage bloquées et la fréquence par habitant, lorsqu’ajusté à la population. Ce sont les États-Unis.
Les États-Unis ont connu 8,8 millions de tentatives d’hameçonnage bloquées pendant la période de suivi, dépassant ainsi largement les 700 000 tentatives bloquées en Allemagne sur la même période. Et la différence est d’autant plus impressionnante lorsque ces chiffres sont ajustés par rapport à la population totale de chaque pays. Les Américains ont ainsi reçu près de trois fois plus de tentatives d’hameçonnage que les Allemands, le deuxième pays le plus concerné par l’hameçonnage dans le classement. Et cela ne s’explique pas par la langue, car nous avons enregistré moins de détections en Grande-Bretagne qu’en France ou en Italie par exemple. Ces données ne tiennent compte que des blocages directs et n’incluent pas les autres tentatives d’hameçonnage, qui n’apparaissent pas sur les écrans des utilisateurs et sont bloquées par les passerelles comme les filtres d’e-mails.
L’hameçonnage à l’américaine
Ces chiffres ne sont pas surprenants. Les États-Unis hébergent déjà cinq des 10 plus grands spammeurs du monde, d’après Spamhaus. Puis, c’est une question d’échelle, ce qu’Alex Vukcevic, directeur du laboratoire de protection Avira, souligne : « Tout est une question d’efficacité marketing, cela ne veut pas dire que les Américains sont plus naïfs que d’autres. Ce pays est un marché immense, plutôt aisé et compte une langue principale, ce qui est bien plus rentable pour le spam et l’hameçonnage. », précise-t-il.
Soyez sceptique, en amour comme par e-mail
L’hameçonnage - que l’appât soit l’amour ou une fantastique remise - est un problème de sécurité majeur pour tous les internautes. Jigsaw, le thinktank de sécurité de Google, estime que les tentatives d’hameçonnage représentent 1 % de tous les e-mails. Et il ne compte que les e-mails d’hameçonnage - les spams dans leur ensemble représentent environ 45 % de tous les e-mails.
La réussite - du moins du point de vue des cybercriminels - n’est qu’une question de chiffre. Ils reçoivent ainsi en moyenne une réponse sur 12,5 millions de messages envoyés. Pour augmenter ce résultat, ils utilisent une variété de légères modifications techniques pour éviter d’être détectés par les logiciels de sécurité et s’évertuent à concevoir des messages qui pousseront la victime à cliquer.
Bien que l’hameçonnage fasse partie d’Internet depuis longtemps, la façon dont ces messages sont conçus et envoyés évolue constamment. Voici quatre points à garder en tête pour éviter de tomber dans le piège :
1. Ils en savent plus sur vous qu’avant
Les e-mails d’hameçonnage deviennent de plus en plus ciblés grâce à un flux régulier de fuites de données. En analysant et comparant de nombreuses bases de données de mots de passe, noms de comptes, activités en ligne et même listes de contacts, les cybercriminels disposent de plus d’informations détaillées qu’auparavant sur leurs cibles. Bien que vous ne soyez pas aussi important que disons, le président du parti démocrate américain, vous pourriez tout de même recevoir un e-mail d’hameçonnage qui vous est personnellement adressé.
2. Ils en savent plus sur ceux pour qui ils se font passer
Les messages d’hameçonnage entrants sont de plus en plus convaincants. Non seulement les phrases sont beaucoup mieux formulées qu’avant, mais les cybercriminels tirent davantage d’informations des bases de données piratées afin de rendre leurs messages plus attirants et cliquables. Ce qui était auparavant un message de détresse provenant d’une princesse du Niger qui portait souvent à rire est aujourd’hui devenu une notification de Dropbox ou une alerte d’une société de SaaS. Il pourrait bien y avoir également le nom de quelqu’un que vous connaissez dans le message. Après tout, une e-card provenant de quelqu’un que l’on connaît est bien plus crédible que celle provenant d’un inconnu.
3. Ils se cachent bien mieux qu’avant
Les tentatives d’hameçonnage se débrouillent pour ne pas être détectées par les applications de sécurité. Pour cela, leur charge utile malveillante n’est souvent pas incluse directement dans le message d’hameçonnage dans votre boîte de réception. Au lieu de cela, elles utilisent de nouveaux canaux de distribution comme les applications de messagerie instantanée pour diffuser leur charge utile. Et parce que les logiciels de sécurité filtrent souvent les pages d’hameçonnage malveillantes, les cybercriminels développent leur utilisation de sites légitimes - mais compromis - pour distribuer leur malware.
4. L’hameçonnage dépend toujours de vous
La variable de sécurité n°1 dans les tentatives d’hameçonnage reste le propriétaire de l’appareil, à savoir vous. Pour renforcer votre sécurité, il faut une bonne dose de scepticisme (non, je ne vais pas cliquer sur cette carte de Saint-Valentin provenant d’un admirateur secret) et de bon sens technique :
a. Soyez prudent - si quelque chose vous semble louche dans le message - même si vous connaissez l’expéditeur - ne cliquez pas.
b. Passez votre souris sur le lien, sans cliquer, afin de découvrir quelle adresse URL se cache derrière. Si l’adresse ne correspond pas à celle du lien affiché, ne cliquez pas.
c. Vérifiez, si vous doutez d’un lien ou d’une adresse, utilisez simplement votre navigateur pour la rechercher.
d. Contrôlez vos doigts : vérifiez, réfléchissez, puis cliquez.