Identifier les menaces pour mieux prévenir les attaques

  • Les escroqueries aux faux ordre de virement FOVI (appelées également "arnaques au président" et "escroquerie au changement de RIB")
  • Le phishing (ou hameçonnage)
  • Les logiciels malveillants (virus, chevaux de Troie, vers informatiques)
  • Les attaques sur les mots de passe

Les escroqueries aux faux ordres de virement (FOVI)

L'escroquerie aux faux ordres de virement consiste à tromper intentionnellement une personne ou une entreprise, en recourant à une usurpation d'identité (un dirigeant, un prestataire, un "expert"...) pour obtenir la remise volontaire de fonds par virement bancaire.

L'escroquerie au président est la plus utilisée et la plus redoutable.
Ainsi, aprés s'être largement renseigné sur la situation de la future victime, l'escroc se fait passer pour un donneur d'ordre et avec force persuasion et pression psychologique, demande à un collaborateur  le virement de sommes pour des "opérations exceptionnelles, confidentielles et extrémement urgentes" sur un compte à l'étranger.

La fraude par changement de coordonnées bancaires
L'escroc se fait passer pour le fournisseur ou un prestataire de l'entreprise ou de l'association et fait croire à un changement de domiciliation bancaire pour les prochaines factures à régler. Le faux RIB est envoyé par mail, avec des caractéristiques de messagerie trés proches de celles de l'interlocuteur habituel et officiel.

Ces types d'escroqueries peuvent entraîner le dépôt de bilan d'une entreprise ou d'une association. Il est donc primordial de suivre quelques régles de sécurité.

Comment s'en protéger ?

- sensiblisez tous vos collaborateurs qui peuvent être susceptibles de recevoir des mails ou des appels pour exécuter des virements.

- contrôlez toujours la demande par un contre appel auprés de vos interlocuteurs habituels

- Instaurez des procédures de vérification et un système de contre-signatures multiples pour les paiements internationaux.

- vérifiez le contenu des mails: fautes d'orthographes, problèmes de syntaxe, bon libellé de l'adresse mail de l'émetteur...

Comment réagir lorsque le virement a été éxécuté ?

- prévenez immédiatement votre agence bancaire et la banque destinaire pour demander le blocage des fonds.

-avisez rapidement la Police Nationale ou la Gendarmerie et déposez plainte.

 

Le phishing (ou hameçonnage)

Le phishing est une technique par laquelle des personnes malveillantes se font passer pour des entreprises ou des organismes financiers qui vous sont familiers en envoyant des courriels frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.
L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). Les messages évoquent souvent des factures, des impayés, de menaces de fermeture de service ou tout autre sujet sollicitant votre émotion.

Comment se protéger ?

Les banques et organismes sociaux (CAF, mutuelles, etc.) ou les entreprises commerciales ne demandent jamais à leurs clients de venir saisir leurs informations personnelles dans un courrier électronique.

Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.

Préférez saisir des informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.

Ne cliquez pas sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.

Méfiez-vous des pages internet suspectes de validation d’opérations sensibles ou d’une lenteur inhabituelle de vos outils internet.

En cas de doute ou de problème, prenez contact rapidement avec votre agence bancaire ou l’organisme qui aurait envoyé ce courriel.


Les logiciels malveillants

(virus, chevaux de Troie, vers informatiques)

 Les logiciels malveillants ont en commun la capacité d’exécuter une ou plusieurs des actions suivantes une fois qu’ils ont contaminé votre dispositif numérique :

  •  Endommager votre système
  •  Prendre les commandes de votre ordinateur
  •  Changer le fonctionnement de votre système. Un type courant de logiciels malveillants modifie votre navigateur vous laissant voir du contenu Web modifié (notamment des bannières publicitaires différentes) ou vous dirige vers de faux sites Web dans le but de recueillir vos données personnelles. La modification du contenu Web peut être difficilement repérable car le nom du site reste inchangé (url).
  • Récupérer vos données personnelles. Certains types de programmes malveillants peuvent lire les données stockées dans votre système ou saisies au clavier, dont vos renseignements financiers ou vos noms d’utilisateur et vos mots de passe, puis les transmettre à leur concepteur.


Comment se protéger ?

 Il est préférable de ne jamais télécharger un fichier à moins d’avoir la certitude de sa légitimité et de celle de sa source. Lorsque vous téléchargez des fichiers, vous permettez à un autre ordinateur de sauvegarder quelque chose sur votre disque dur. Cela peut permettre l’installation d’un logiciel malveillant sur votre poste de travail, logiciel qui peut ne pas être détecté par des antivirus à jour, dans le cas où il s’agit d’une variante récente.

Il ne faut jamais ouvrir une pièce jointe sans que l’expéditeur ait confirmé son intention de vous l’envoyer car elle peut contenir un logiciel malveillant.

Avant de cliquer sur un lien, laissez-y votre curseur pendant un instant pour vous assurer que l’adresse URL (adresse Web) qui s’affiche y correspond. Car même si vous ne visitez pas de sites malveillants intentionnellement, cliquer sur le mauvais lien peut vous y conduire.

Il est également important d’équiper son poste de travail d’un anti-virus et d’un pare-feu et de mettre régulièrement ses logiciels à jour.

Les attaques sur les mots de passe

Pour accéder à vos données personnelles et effectuer des opérations frauduleuses, les personnes malveillantes peuvent usurper votre identité en s’attaquant à vos mots de passe.
Plusieurs techniques sont connues : 

  • des logiciels permettent de générer tous les mots de passe possibles
  • d’autres utilisent des mots issus de liste, notamment ceux du dictionnaire.
  • Une autre méthode consiste simplement à deviner le mot de passe, en fonction d’éléments que l’attaquant aura pu obtenir sur le propriétaire du mot de passe et de ses proches (nom, prénom, date de naissance…).

Comment se protéger ?

Plus il y a de caractères et plus leur espace de départ (types de caractères) est grand, plus ces types d’attaques mettront du temps à aboutir :  un mot de passe long (8 à 12 caractères de préférence) utilisant des types de caractères différents ne peut ainsi être trouvé en un temps raisonnable par un attaquant ayant des moyens conventionnels.

Le choix d’un mot de passe ne faisant aucune référence à un mot connu du dictionnaire ou à des références personnelles rendra les attaques plus complexes.

Pour aller plus loin : consultez les pages « veillez à la confidentialité de vos données» et "sécurisez votre poste de travail"