Les attaques par usurpation d'identité se sont multipliées au cours de la dernière décennie, et les géants de l'industrie et les agences gouvernementales sont dans la ligne de mire. La Commission fédérale du commerces'inquiète constamment des milliers d'escroqueries à l'usurpation d'identité qui lui sont signalées et qui visent ces entreprises et ces organismes gouvernementaux.
Le problème de ces attaques est qu'elles jouent sur la psychologie humaine, ce qui les rend très difficiles à détecter et à arrêter. De plus, les techniques d'usurpation d'identité des escrocs sont de plus en plus sophistiquées. En fin de compte, cela augmente le taux de réussite des escroqueries.
Les mauvaises pratiques de sécurité dans les organisations et le manque de sensibilisation des employés sont des raisons courantes qui contribuent au succès des escroqueries à l'usurpation d'identité. À tel point que pour la seule année 2023, la FTC indique que 330 000 cas d'escroquerie à l'usurpation d'identité commerciale et 160 000 cas d'escroquerie à l'usurpation d'identité gouvernementale lui ont été signalés ! Dans son Consumer Protection Data Spotlighla FTC a révélé que le coût total associé à ces attaques au cours de l'année écoulée dépassait le milliard de dollars.
Que sont les escroqueries à l'usurpation d'identité ?
Les escroqueries par usurpation d'identité sont des cybermenaces dans lesquelles un attaquant se fait passer pour une organisation, une institution ou une personne afin d'inciter les victimes à divulguer des informations sensibles. Les escroqueries à l'usurpation d'identité sont généralement motivées par des raisons financières ou par la volonté d'accéder aux systèmes et informations internes d'une organisation.
Qui est visé ?
En réalité, tout le monde peut se faire passer pour quelqu'un d'autre en ligne. Toutefois, dans un souci de rentabilité, les cyberattaquants usurpent généralement l'identité des cibles populaires suivantes dans le cadre d'escroqueries :
- Entreprises privées de renom
- Agences gouvernementales
- Banques et institutions financières
- Collèges, universités et autres établissements d'enseignement
- Cadres supérieurs d'entreprise (PDG, directeur technique, directeur financier)
- Amis et famille
Quelles sont les méthodes utilisées ?
Pour réaliser des escroqueries par usurpation d'identité, les attaquants peuvent utiliser les méthodes suivantes :
1. L'hameçonnage par courrier électronique: Les courriels d'hameçonnage sont généralement envoyés à partir de noms de domaine falsifiés ou usurpés, usurpant l'identité d'organisations réelles pour escroquer leurs clients existants ou potentiels.
2. Vishing/Smishing : Semblable à l'hameçonnage, mais effectué par appels téléphoniques ou SMS, les attaquants se font passer pour des sources légitimes afin de soutirer des informations sensibles.
3. Médias sociaux: L'usurpation d'identité est très répandue sur les médias sociaux, les fraudeurs créant de faux profils d'utilisateurs existants pour diffuser des informations erronées ou tromper leurs amis et leur famille. Le détournement de compte est un autre moyen de commettre des escroqueries par usurpation d'identité sur les médias sociaux.
Quels sont les objectifs ?
Le but ultime des escroqueries à l'usurpation d'identité est de.. :
- Voler des informations sensibles telles que les identifiants de connexion, les mots de passe des comptes, les détails des cartes de crédit et de débit, etc.
- Voler ou virer de l'argent aux victimes et aux organisations
- Manipuler les victimes pour qu'elles téléchargent des ransomwares et des logiciels malveillants dans leurs systèmes.
- Usurpation d'identité
Les 5 principales escroqueries à l'usurpation d'identité signalées par les consommateurs à la FTC en 2023
Dans son rapport Data Spotlight, la FTC a énuméré les escroqueries suivantes qui ont été le plus souvent signalées par les consommateurs en 2023 :
1. Fausses alertes de sécurité de compte
Supposons que vous receviez un message de votre banque indiquant que vous avez transféré une somme d'argent X et vous demandant de confirmer que vous avez bien effectué cette transaction. Il s'agit d'un message standard envoyé par les banques lorsque vous effectuez une transaction, à des fins de sécurité. Seulement, le message ne provient pas vraiment de votre banque. Cette fois, il provient d'un pirate qui se fait passer pour votre banque afin de vous inciter à transférer vos fonds.
2. Fausses alertes de renouvellement de compte
Vous aviez un compte Netflix que vous n'aviez pas renouvelé depuis un certain temps et vous recevez soudain une alerte de Netflix vous informant qu'ils procèdent à un renouvellement automatique qui déduira de l'argent de votre compte. Cette alerte est surprenante et vous incite immédiatement à agir. Cette fausse alerte émanant d'un escroc se faisant passer pour Netflix s'inspire d'escroqueries similaires signalées par des consommateurs à la FTC.
3. Des offres de réduction, des soldes et des bons d'achat incroyables
Si vous ne vivez pas sous un rocher, cette escroquerie n'est pas nouvelle pour vous. Nous recevons souvent des messages et des courriels de sociétés de commerce électronique concernant les dernières ventes et réductions. Si certains sont authentiques, la plupart de ces messages sont des escroqueries ! Il est important de rester prudent et d'être attentif aux signes avant-coureurs tels que les liens et les pièces jointes suspects. Les messages mal rédigés, les fautes de grammaire et les offres qui semblent trop belles pour être vraies sont d'autres indices qui ne trompent pas !
4. Questions relatives à la livraison des colis
Entre 2023 et 2024, les escroqueries liées à la livraison de colis ont connu une forte augmentation. Cette escroquerie semble tout à fait inoffensive. Un colis livré à votre nom n'a pas été livré et vous êtes informé que vous devez aller le chercher manuellement à votre bureau de poste local. Le message est généralement accompagné d'un lien donnant plus de détails sur le colis. En réalité, il n'y a pas de colis et le lien peut vous conduire à un site web d'hameçonnage qui volera vos informations d'identification ou commencera à télécharger des logiciels malveillants sur votre système !
5. Les problèmes avec la loi font peur
Le stress et la contrainte conduisent souvent à un manque de jugement. C'est ce qui motive cette période d'escroqueries à l'usurpation d'identité. Les escrocs qui se font passer pour des forces de l'ordre accusent des personnes innocentes d'avoir eu affaire à la justice d'une manière ou d'une autre. Les victimes désorientées font tout ce que leur disent les escrocs pour éviter les ennuis et se défendre.
La FTC introduit une nouvelle règle sur l'usurpation d'identité des gouvernements et des entreprises
Le 1er avril 2024la FTC a finalement mis en place la nouvelle règle sur l'usurpation de l'identité d'un gouvernement ou d'une entreprise. Elle a introduit des mesures strictes pour prévenir les escroqueries à l'usurpation d'identité et minimiser les pertes financières subies par les consommateurs. Voici un aperçu des principaux points à retenir :
- La FTC peut intenter une action en justice contre les auteurs de l'escroquerie afin d'obtenir le remboursement de l'argent volé aux consommateurs escroqués.
- La FTC s'efforce en permanence de protéger et d'éduquer les consommateurs sur les différents types d'escroqueries à l'usurpation d'identité afin qu'ils soient mieux informés et équipés
- La FTC accepte également les commentaires du public jusqu'au 30 avril sur sa règle de régulation du commerce. règles commerciales sur l'usurpation d'identité pour en savoir plus sur les consommateurs
Le courrier électronique : Un moyen privilégié pour les escroqueries à l'usurpation d'identité
La FTC souligne que les courriels et les messages textuels sont les deux principaux supports des escroqueries à l'usurpation d'identité après 2020. Alors que les escroqueries par appel téléphonique étaient populaires auparavant, elles ont connu une baisse constante de leur fréquence, les escroqueries par courriel et par SMS étant en hausse !
Mais pourquoi les attaquants choisissent-ils le courrier électronique ? Le courrier électronique est un support puissant pour les cyberattaques car il est utilisé trop souvent dans les environnements personnels et professionnels. Plus de 300 milliards de courriels sont envoyés chaque jour, avec plus de 4 milliards d'utilisateurs actifs dans le monde ! Le courrier électronique est donc un moyen très prisé par les escrocs pour repérer leurs victimes potentielles. D'autres facteurs font du courrier électronique un choix populaire :
- Manque de sensibilisation à la fraude par courrier électronique
- Mauvaises pratiques en matière de sécurité du courrier électronique dans les organisations et les agences gouvernementales
- Absence de prise en charge des protocoles d'authentification de domaine avancés
Comment prévenir les escroqueries par usurpation d'identité ?
Il existe deux approches principales pour empêcher l'usurpation d'identité par courrier électronique : faire preuve de prudence à l'égard des courriers électroniques que vous recevez et faire en sorte qu'il soit plus difficile pour les escrocs de se faire passer pour des expéditeurs légitimes (ceci s'applique davantage aux organisations).
Pour les particuliers, voici quelques conseils :
- Soyez attentif aux signaux d'alarme : Les escrocs créent souvent un sentiment d'urgence ou de pression pour vous inciter à agir rapidement sans réfléchir. Méfiez-vous des courriels contenant une mauvaise grammaire, des fautes d'orthographe ou des demandes inattendues d'argent ou d'informations personnelles.
- Vérifiez les adresses des expéditeurs : Ne vous fiez pas uniquement au nom de l'expéditeur. Examinez attentivement l'adresse électronique complète. Les escrocs peuvent facilement usurper les noms des expéditeurs pour les faire passer pour légitimes.
- Ne cliquez pas sur des liens ou des pièces jointes suspects : Survolez les liens avant de cliquer pour voir l'URL de destination réelle. Ne téléchargez jamais de pièces jointes provenant d'expéditeurs inconnus.
- Méfiez-vous des courriels non sollicités : Si vous recevez un courriel d'une personne que vous ne connaissez pas, soyez particulièrement prudent.
Avec l'augmentation rapide des escroqueries à l'usurpation d'identité, la mise en œuvre de solutions de sécurité des courriels dans le nuage est devenue cruciale. Cette approche globale de la sécurisation des communications par courrier électronique joue un rôle essentiel dans la prévention des escroqueries à l'usurpation d'identité, la protection des informations sensibles et le maintien de l'intégrité des opérations commerciales face à l'augmentation des cybermenaces.
Pour les organisations, il existe des mesures techniques supplémentaires qui peuvent être mises en œuvre :
- Authentification SPF : SPF permet de vérifier que les courriels prétendant provenir de votre domaine sont bien envoyés par vos serveurs autorisés.
- Authentification DKIM : DKIM permet de vérifier que les courriers électroniques n'ont pas été altérés au cours des transactions et que le contenu du message est resté intact.
- DMARC : DMARC s'appuie sur SPF et/ou DKIM et vous permet de spécifier comment les destinataires de courriels doivent traiter les courriels non authentifiés provenant de votre domaine.
- Sensibiliser les employés : Formez le personnel à la détection des escroqueries par usurpation d'identité et à la manière de les repérer.
Alors que les protocoles techniques peuvent nécessiter du temps, des efforts et des ressources pour être configurés, ainsi que des connaissances et de l'expertise, les organisations facilitent le processus grâce à un analyseur DMARC. Cet outil vous aide à mettre en place, à surveiller et à gérer facilement l'authentification du courrier électronique pour un ou plusieurs domaines. En outre, il s'agit d'une solution plus rapide, plus rentable et plus sûre pour passer d'une politique de non-application à une politique d'application. Cela vous protège dans une certaine mesure contre les escroqueries par usurpation d'identité.
Le mot de la fin
La FTC s'efforce en permanence d'aider les victimes d'escroqueries à l'usurpation d'identité et de les sensibiliser aux cybermenaces. Il est important de rappeler que la Commission n'exigera jamais d'argent, ne vous fera jamais chanter, n'utilisera jamais la force et ne vous offrira jamais de récompenses. Par conséquent, si vous recevez un SMS, un courriel ou un appel téléphonique d'une personne se réclamant de la FTC et agissant de manière suspecte, méfiez-vous ! Vous pouvez immédiatement contacter les numéros d'assistance téléphonique de la FTC mentionnés sur son site officiel pour obtenir de l'aide.
Enfin, n'oubliez pas de toujours prêcher et pratiquer une communication numérique sûre, de rester vigilant et d'investir dans de bons outils de cybersécurité. Il vaut toujours mieux prévenir que guérir, et prendre les bonnes mesures dès maintenant peut vous aider à économiser des frais de réparation à l'avenir !
- Yahoo Japan impose l'adoption de DMARC à ses utilisateurs en 2025 - 17 janvier 2025
- Le botnet MikroTik exploite les mauvaises configurations SPF pour diffuser des logiciels malveillants - 17 janvier 2025
- Le courrier non authentifié DMARC est interdit [SOLVED] - 14 janvier 2025