Les arnaques aux dons par emails n’ont jamais été aussi nombreuses. En jouant sur l’actualité parfois stressante ou inquiétante, des emails plus vrais que nature arrivent dans nos messageries nous invitant à cliquer sur des liens à première vue légitimes. Derrière ces liens, de véritables arnaques montées par des pirates informatiques, vous demandant de saisir vos coordonnées bancaires, personnelles, ou même effectuer des versements en crypto-monnaies.
L’actualité, moteur des campagnes de phishing
À la suite de pandémies, catastrophes naturelles ou autres tragédies d’envergure mondiale, un grand nombre d’entre nous souhaite apporter son soutien aux victimes. Cette empathie est bien connue des pirates qui savent comment en tirer profit.
« Quelque temps après l’ouragan Katrina, un site web a été créé, appelé katrina.com. Se faisant passer pour le site officiel des survivants, l’escroquerie invitait à cliquer sur le site et réaliser un don. Avec un nom de domaine qui semblait légitime, de nombreux donateurs ont enregistré des contributions » explique Cassie Leroux, Directrice Produit chez Mailinblack, solution de protection de messagerie et de formation aux cyberattaques.
Elle poursuit : « Début 2020, c’est avec la crise sanitaire que les hackers sont revenus. En profitant de la panique des usagers, des emails invitaient à réaliser des dons pour équiper des hôpitaux en masques chirurgicaux et en tests de dépistages. D’autres attaques ont mis en avant des appels aux dons au profit de soignants ou malades à travers le monde ».
Plus récemment, les arnaques aux dons ont pris une toute autre dimension suite à la guerre en Ukraine : l’usurpation d’associations. “En usurpant les identités d’organismes légitimes, des cagnottes frauduleuses circulent en reprenant logos et images officielles. Parfois même, certains emails invitent à effectuer un paiement en crypto-monnaies, et d’autres contiennent de fausses vidéos mettant en scène la guerre actuelle,” explique Cassie Leroux.
Notre empathie, manipulée par les hackers
Ces exemples illustrent à quel point les hackers sont organisés et prêts à tirer profit de telles tragédies. Ils connaissent nos points faibles et jouent avec nos émotions pour nous manipuler. D’après Cassie Leroux et les recherches menées par Mailinblack : « La plupart des réponses émotionnelles engendrent des actions rapides et les attaques de phishing incitent justement à des réactions vives. Plus besoin de se servir de fake-news, puisque l’actualité mondiale engendre chez nous de fortes émotions. C’est sur ces canaux d’influence que les hackers s’appuient pour que notre cerveau agisse automatiquement, sans utiliser son côté rationnel ».
Hacker, un job lucratif
D’après la société Trustwave, les hackers peuvent gagner jusqu’à 90 000 € par mois. Comment ? En envoyant de nombreux emails de phishing, parfois plus d’1 million par jour. Ce sont de nombreuses données qui sont récoltées, principalement revendues par la suite sur les marchés noirs ou dark web, afin d’être réutilisées dans le cadre d’attaques plus complexes. Selon la CPME, voici quelques exemples du coût de ces données :
- Un compte Gmail piraté : 131,99 €
- Une carte Visa clonée avec code pin : 21,19 €
- Une carte Mastercard clonée avec code pin : 12,71 €
- Un passeport européen : 1271,35 €
- Une carte d’identité nationale européenne : 466,16 €
8 conseils pour ne pas tomber dans le piège
Les emails de phishing sont de plus en plus sophistiqués et la technologie seule ne suffit plus à nous protéger. Pour éviter de tomber dans le piège, Cassie Leroux nous donne 9 conseils à suivre :
- Analyser la pertinence de la demande ou des propos tenus dans l’email
- Analyser l’adresse email expéditrice (entre @mailinblack.com et @malinblack, il y a une différence)
- Faire des recherches sur l’adresse email utilisée ou la structure imitée pour vérifier si d’autres internautes n’ont pas déjà identifié l’arnaque
- Vérifier l’orthographe car trop de fautes peut être le signe d’une arnaque
- Renseigner sur les actuelles campagnes de phishing et les menaces en cours dans le cyber-espace sur des sites comme l’ANSSI ou des blogs spécialisés
- Au moindre doute, remonter l’email à son responsable informatique
- Mettre en place des solutions de tri des emails malveillants
- Sensibiliser les collaborateurs aux risques cyber et les entraîner à reconnaître des emails frauduleux