par Evelien Callewaert
Ou absolument pas ? Voilà ce qui aurait pu être communiqué dans un courriel de finance@vlt.be (au lieu de finance@vdl.be). Et si vous n'aviez pas été attentif, tous les paiements qui nous étaient destinés auraient abouti sur le numéro de compte d’un arnaqueur.
Cela ne vous arrive pas ? Ces courriers dits de phishing sont plus fréquents que vous ne le pensez. Selon un rapport récent du Centre européen de lutte contre la cybercriminalité d'Europol, le hameçonnage (ciblé) représente environ deux tiers de tous les incidents de cybersécurité.
L'hameçonnage (phishing) est une forme de fraude en ligne dans laquelle l’arnaqueur induit la victime en erreur au moyen de courriels et/ou de sites Web ayant un aspect officiel et visant généralement à « pêcher » des données de connexion ou des données de cartes de paiement. Il est intéressant de savoir que le terme phishing est une combinaison de phishing (pêcher) et de phreak (phone + freak : pirate téléphonique).
Illustration 1 - Incidents cybernétiques mentionnés (Europol EC3)
Dans le phishing bancaire, un expéditeur frauduleux cherche à vous tromper pour vous inciter à partager vos données personnelles, financières ou de sécurité avec lui. Il suffit de penser aux comptes bancaires, aux numéros de cartes de paiement et aux codes secrets. En copiant les logos et la mise en page de véritables courriels et en utilisant un langage menaçant et/ou des délais impératifs, les arnaqueurs tentent de vous convaincre de télécharger une pièce jointe ou de cliquer sur un lien. Les pièces jointes contiennent souvent des logiciels malveillants, alors que les liens renvoient généralement à une copie frauduleuse d'un site Web officiel (par exemple d’e‑banking). L’arnaqueur essaie de voler vos données de connexion de ces deux manières. Vous en trouverez un exemple ici.
Dans le cadre du Business Email Compromise (BEC), également connu sous le terme fraude au P.D.G., un collaborateur qui est autorisé à effectuer des paiements est abusé pour l’amener à payer une fausse facture. Ou vous êtes invité(e) par la voie d’un faux courriel du P.D.G. à effectuer un virement du compte de l’entreprise au compte d’un arnaqueur. Vous en trouverez un exemple ici.
Dans le cas de la fraude à la facture, une personne se fait passer pour votre fournisseur, un prestataire de services ou un créancier et vous envoie une fausse facture ou demande d’adapter les données bancaires d'un bénéficiaire connu, de sorte que les futurs paiements de factures arrivent sur le compte de l’arnaqueur. Vous en trouverez un exemple ici.
Dans le smishing (SMS + phishing), les arnaqueurs vous envoient un SMS avec un lien vers un faux site Web. Dans le vishing (voice + phishing), ils vous appellent personnellement pour tenter d'obtenir des données personnelles, financières ou de sécurité ou pour que vous leur transfériez une somme d’argent. Vous en trouverez un exemple ici.
Ce qui précède prouve une fois de plus que le maillon humain reste une cible intéressante pour les cybercriminels. La formation en « Security awareness » (une formation à la lutte contre ces pratiques) pour l’ensemble du personnel (y compris le management) reste importante, mais nécessite une refonte pour rendre l'ensemble plus attrayant et plus clair que les présentations PowerPoint répétitives.
Pour les formations à la lutte contre ces pratiques, y compris les tests sur le phishing, des informations complémentaires et d’autres questions sur le phishing ou la cybersécurité en général, n’hésitez pas à contacter le département Vandelanotte Security & Privacy à l’adresse e-mail cyber@vdl.be. Nous discuterons de vos questions ou vos préoccupations et nous établirons une offre de services personnalisée avec vous.
Evelien Callewaert
Senior Advisor Legal evelien.callewaert@vdl.be
Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.
Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.