Conseils relatifs à la sécurité des informations

Ce serait formidable si la technologie pouvait résoudre tous nos problèmes de cybersécurité. Nous nous appuyons sur des systèmes de sécurité tels que des logiciels antivirus, des pare-feu et des mises à jour logicielles pour protéger nos appareils et nos données. Cependant, en fin de compte, tout dépend des personnes. Selon le Verizon 2022 Data Breach Investigations Report, 82% des violations impliquent l'élément humain, y compris les attaques d'ingénierie sociale, les erreurs et les mauvais usages.

Les e-mails de phishing restent l'une des méthodes d'attaque les plus populaires utilisées par les cybercriminels, mais ce n'est pas la seule. Passons en revue quelques autres types d'attaques d'ingénierie sociale et ce que vous pouvez faire pour vous protéger.

L'hameçonnage vocal (vishing) et l'hameçonnage par SMS (smishing)

• L'hameçonnage. Dans les attaques par vishing, les escrocs utilisent des appels téléphoniques ou des messages vocaux pour se faire passer pour des entreprises légitimes et vous inciter à leur donner de l'argent ou à leur révéler des informations personnelles.  Ces appels frauduleux sont parfois effectués par de vraies personnes, parfois par des robocalls. Pire encore, les escrocs peuvent usurper des numéros de téléphone appartenant à de vraies entreprises ou personnes pour vous tromper.
• Pêche à la ligne. Dans les attaques par smishing, les escrocs envoient des messages de phishing via des SMS ou des applications de messagerie sur votre smartphone ou votre tablette. Comme dans les e-mails de phishing, vous êtes invité à ouvrir un lien pour accéder à un site web ou à une application. Le lien peut vous amener à une page de connexion pour saisir votre nom d'utilisateur et votre mot de passe, à un formulaire pour fournir vos informations personnelles ou à une application malveillante qui infecte votre appareil.

Escroqueries courantes de type vishing et smishing

Vous trouverez ci-dessous des exemples d'escroqueries par vishing et smishing dont il faut se méfier.

• Demandes de paiement. L'escroc prétend travailler pour une agence gouvernementale telle que l'IRS et vous dit que vous devez de l'argent. Ils peuvent vous menacer d'une amende ou même d'une arrestation si vous ne payez pas.
• Vérification du compte. L'escroc se fait passer pour un employé de votre banque ou de la société émettrice de votre carte de crédit et déclare avoir remarqué une activité inhabituelle sur votre compte. Il vous est demandé de fournir des informations personnelles pour vérifier votre compte.
• Inscription au programme. L'escroc se présente comme un représentant d'un programme gouvernemental tel que Medicaid et vous propose de vous aider à obtenir vos prestations. Des informations personnelles ou financières vous sont demandées pour compléter l'inscription.
• Confirmation de commande/expédition. L'escroc vous envoie un lien pour suivre un colis ou confirmer votre commande, alors que vous n'avez rien commandé récemment. Le lien peut vous demander votre nom d'utilisateur et votre mot de passe ou installer un logiciel malveillant sur votre appareil.
• Gagner un prix. L'escroc vous informe que vous avez gagné un concours. À partir de là, ils peuvent vous demander des informations personnelles ou vous aider à accéder à votre compte bancaire afin que vous puissiez recevoir un dépôt.
• Support technique. L'escroc vous propose de résoudre un problème informatique dont vous ne soupçonniez même pas l'existence. Ils peuvent vous demander de visiter leur site web d'assistance, d'installer un logiciel leur permettant de prendre le contrôle à distance ou de leur fournir vos comptes et mots de passe.

Comment vous protéger des escroqueries par vishing et smishing ?

Voici quelques conseils pour vous aider à vous protéger contre les escroqueries de type vishing et smishing.

• Faites une pause, réfléchissez et agissez. Les escrocs mettent l'accent sur le sentiment d'urgence pour vous inciter à faire ce qu'ils veulent. Ne mordez pas à l'hameçon. Prenez le temps de réfléchir à ce qu'on vous demande de faire et pourquoi avant d'agir. Réfléchissez à deux fois avant de cliquer sur des liens contenus dans des messages textuels. Visitez plutôt le site web de l'organisation pour vous assurer que vous communiquez avec l'entreprise réelle.
• Ne répondez pas au téléphone et ne répondez pas aux messages provenant de numéros inconnus. Si les escrocs ne peuvent pas vous joindre, ils ne peuvent pas vous piéger. Si vous répondez à l'appel, raccrochez immédiatement.
• Gardez vos informations personnelles confidentielles. Ne communiquez jamais à des inconnus des informations personnelles telles que des numéros de compte, des numéros de sécurité sociale, des mots de passe ou des codes d' authentification multifactorielle (MFA) sur le site.
• Vérifiez la source. Si vous recevez un message d'une personne qui dit représenter une entreprise ou une agence gouvernementale, raccrochez et contactez-la en utilisant les coordonnées affichées sur le site web de l'organisation.
• Activez une sécurité forte sur vos comptes. La création de mots de passe forts et uniques reste une bonne pratique de sécurité pour protéger vos informations personnelles et financières. Si vous avez des difficultés à créer des mots de passe uniques pour chacun de vos comptes, envisagez d'utiliser des générateurs et des gestionnaires de mots de passe pour élaborer des mots de passe plus complexes et les stocker en toute sécurité. Activez la fonction MFA lorsqu'elle est disponible, afin de renforcer la protection de vos comptes en ligne.

Ressources complémentaires

• FCC : Usurpation de l'identité de l'appelant
• CISA : Éviter l'ingénierie sociale et les attaques par hameçonnage