Les nouvelles menaces cybercriminelles
Notre monde de plus en plus digitalisé entraîne une multiplication des actes de cybercriminalité. Les fraudeurs ne cessent d’innover et de trouver de nouveaux moyens pour accéder aux données personnelles et / ou bancaires.
Les modes opératoires évoluent et se diversifient, tout comme les profils des attaquants, même si le « phishing » ou hameçonnage par e-mail reste toujours la technique la plus utilisée. Dans ce contexte, il est crucial rester informé des différentes menaces qui pèsent sur votre sécurité numérique pour pouvoir les identifier et les déjouer.
LE CYBERSQUATTING
Le « cybersquatting » est une pratique malveillante qui consiste à enregistrer un nom de domaine (identifiant du site internet, par exemple www.monentreprise.fr) similaire ou identique à celui d'une entreprise, d'une marque ou d'une personnalité publique, dans le but de collecter des données personnelles et de s'enrichir en tirant profit de la notoriété de celle-ci.
A l’origine, le cybersquatting désigne surtout l’achat du nom de domaine d’une marque connue, avant que cette dernière n’ait pensé à le réserver. Le cybersquatteur n’a alors plus qu’à revendre le nom de domaine à son propriétaire légitime contre une forte somme d’argent ou l’utiliser pour diriger le trafic internet vers son propre site Web, le plus souvent pour revendre des produits contrefaits.
Il existe plusieurs scénarios pouvant être mis en place :
- • Le typosquatting : la plupart des utilisateurs d'Internet commettent fréquemment des erreurs de frappe ou « erreurs typographiques », dont certaines sont très courantes (par exemple, omettre le « s » final de « particuliers » dans l’adresse particuliers.sg.fr). Les typosquatteurs peuvent tirer parti de ces étourderies en achetant des noms de domaines proches des noms officiels mais contenant une faute de frappe, comme particulier.sg.fr au lieu de particuliers.sg.fr, par exemple, pour diriger les internautes vers un site d’hameçonnage qui leur permettra de dérober des données personnelles (identifiant de connexion, mot de passe,…) ;
- • Les annonces malveillantes : les internautes utilisent fréquemment des moteurs de recherche pour ne pas avoir à mémoriser l'adresse ou le nom de domaine du site d'une marque ou d'une entreprise. Les fraudeurs tirent parti de cette habitude en plaçant en tête des résultats d'une recherche, des annonces malveillantes contenant un lien proche de l'adresse du site internet recherché. Ces annonces dirigeront vers des pages frauduleuses où les escrocs inciteront les utilisateurs à communiquer leurs informations personnelles (numéro de téléphone, nom, prénom…) et/ou bancaires (identifiant, mot de passe, numéro de la carte bancaire / du compte…) dans le but de les utiliser à des fins malveillantes. Il peut s'agir par exemple, d'annonces malveillantes contenant des liens de connexion proches de l'adresse officielle du site internet particuliers.sg.fr restituées dans les résultats des moteurs de recherche web. Ces annonces frauduleuses visent à diriger les clients SG vers un site internet ressemblant à leur Espace Client en vue de leur soutirer code client et code secret.
Les bons réflexes à adopter pour se protéger du cybersquatting :
- • Enregistrez l’adresse internet dans vos favoris ou saisissez-la dans la barre d’adresse située dans l’en-tête de votre navigateur internet;
- • Avant de cliquer sur un lien ou sur un bouton, survolez-le avec votre souris pour vérifier l’adresse internet vers laquelle vous serez redirigé;
- • Pour identifier les adresses internet malveillantes, prêtez attention aux fautes de frappe, à la présence de lettre(s) mal placée(s) ou de caractères spéciaux, aux inversions de noms ainsi qu’aux extensions « .fr », « .com », « .eu »;
- • Privilégiez l’utilisation des applications dont l’Appli SG, en les téléchargeant au préalable uniquement depuis les stores officiels.
LE VISHING
Le « vishing » ou hameçonnage par téléphone est une arnaque téléphonique utilisant le plus souvent des techniques d’ingénierie sociale (usurpation d’identité) dont le but est de faire réaliser des opérations frauduleuses ou de soutirer des informations personnelles et/ou bancaires. La finalité est identique à celle du « phishing » qui repose quant à elle sur l’envoi d’e-mails frauduleux alors que le vishing s’appuie sur des appels téléphoniques frauduleux.
Notez que les fraudeurs sont parfaitement capables d’afficher le numéro de téléphone de la personne ou de l’entreprise dont ils usurpent l’identité. Le numéro et la localisation de l’appel, tout comme l’identité de l’appelant, ne sont pas un gage de sécurité.
Par ailleurs, ils disposent le plus souvent d’informations personnelles vous concernant, pour tenter de vous rassurer et de gagner votre confiance.
Les bons réflexes à adopter pour se protéger du vishing :
Consulter l’article « Appels Frauduleux : Comment vous protéger ? (sg.fr) » !
LA FRAUDE AU FAUX COURSIER
La fraude au faux coursier est un type d’arnaque un peu plus sophistiqué qui se produit en deux temps et dont l’objectif est de récupérer physiquement votre carte bancaire :
- • Dans un premier temps, l’escroc contacte sa cible par téléphone pour la prévenir que sa carte bancaire a été piratée ou que celle-ci présente un dysfonctionnement et lui demande son code secret pour vérifier qu’il s’agit bien de la bonne carte ;
- • Puis il propose l’envoi d’un coursier pour récupérer la carte bancaire. Une fois en possession de la carte et de son code, le faux coursier (l’escroc) procédera à des achats et des retraits frauduleux. La victime ne se rendra compte de la supercherie que plus tard, en constatant les opérations frauduleuses au débit de son compte ou en se rendant auprès de son agence bancaire.
Les bons réflexes à adopter pour se protéger de la fraude au faux coursier :
- • Ne cédez pas au caractère urgent et pressant de la demande, raccrochez et appelez votre Conseiller SG en utilisant ses coordonnées habituelles (celles-ci figurent dans votre Espace Client ainsi que sur vos relevés de compte bancaire);
- • En cas de doute, ne réalisez aucune action (annuler, bloquer, valider ou confirmer une opération par exemple à l’aide de votre Pass Sécurité sur injonction d’un tiers) et ne divulguez aucune information personnelle et/ou bancaire (identifiants bancaires, code carte bancaire, etc.) ;
- • Si une personne a pris connaissance de votre code secret, opposez immédiatement votre carte sur L’Appli SG ou en contactant le service cartes ;
- • Si vous êtes amené à détruire votre carte bancaire, assurez-vous de bien découper la puce électronique* ainsi que la bande magnétique (qui contient les informations personnelles) ;
- • Enfin, il est interdit de prêter votre carte bancaire ou de s’en déposséder : elle est personnelle.
*Attention, une carte avec option crypto dynamique ne doit en aucun cas être pliée, découpée, brûlée, percée ou jetée à la poubelle : vous devez la déposer dans une agence bancaire SG la plus proche. Sachez que SG n’enverra jamais de coursier à domicile pour récupérer et détruire votre carte bancaire, avec ou sans option crypto dynamique.
LE SPOOFING
Le « spoofing » est une technique de cybercriminalité qui vise à vous mettre en confiance en usurpant l'adresse e-mail de l’expéditeur ou le numéro de téléphone d’une personne légitime (par exemple votre conseiller bancaire) ou d'un organisme reconnu (par exemple l’Assurance Maladie « Ameli », le Trésor public, etc.).
Plus concrètement, les fraudeurs vont tenter de gagner votre confiance en « maquillant » leur véritable numéro d’appel et le remplacer par le numéro de téléphone de l’organisme ou de la personne usurpée. Le numéro et la localisation de l’appel, tout comme l’identité de l’appelant, ne sont pas forcément un gage de sécurité.
En vous donnant l’impression d’être en contact avec votre interlocuteur légitime, l’escroc tente de diminuer votre vigilance face à ses tentatives frauduleuses (le spoofing venant le plus souvent en complément d’autres manœuvres, par exemple le phishing/smishing (e-mail et SMS frauduleux) et/ou vishing (appel frauduleux) pour obtenir de vous la divulgation d’informations personnelles ou la réalisation d’une action.
Les bons réflexes à adopter pour se protéger du spoofing :
- • En cas de doute lors d’un appel téléphonique, ne cédez pas au caractère urgent et pressant de la demande, raccrochez et appelez votre Conseiller SG en utilisant ses coordonnées habituelles (celles-ci figurent dans votre Espace Client ainsi que sur vos relevés de compte bancaire) ;
- • Ne répondez pas aux e-mails suspects et n’ouvrez aucune pièce jointe ;
- • De manière générale, ne réalisez aucune action (annuler, bloquer, valider ou confirmer une opération par exemple à l’aide de votre Pass Sécurité sur injonction d’un tiers) et ne divulguez aucune information personnelle et/ou bancaire (identifiants bancaires, code carte bancaire, etc.) par e-mail/SMS ou appel s’il vous semble suspect.
LE PHISHING / SMISHING
Le « phishing » et le « smishing » consistent à vous envoyer un e-mail ou un SMS en se faisant passer pour un organisme reconnu (votre banque, votre fournisseur d’accès Internet ou un site de commerce en ligne…) ou un établissement public (le Trésor public, l’Assurance Maladie (« Ameli »), La Poste…).
Le but est de vous inciter à cliquer sur des pièces jointes ou des liens malveillants pour ensuite récupérer vos informations personnelles et/ou bancaires. Une fois les informations obtenues, les fraudeurs peuvent les utiliser pour commettre des fraudes bancaires, usurper votre identité ou d'autres formes d’escroquerie.
Quelles sont les attaques de phishing les plus susceptibles de viser un client SG ?
-
• Les messages frauduleux visant le Pass Sécurité : il peut s’agir d’e-mails ayant pour objet « Pass Sécurité », « Découvrez le PASS », « Activer votre nouveau service », etc.qui vous incitent à découvrir ou installer le Pass Sécurité ;
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS de phishing destinés à vous rediriger sur un faux site Internet et de collecter des informations personnelles via un formulaire. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle, sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à vos moyens de sécurité. -
• Les fausses demandes de consultation et de vérification : ces messages frauduleux présentent des nouveautés SG, des informations à consulter ou un message de votre Conseiller SG. Ils s’intitulent par exemple : « Votre Espace Client évolue », « Votre identifiant évolue », « Vous avez un nouveau message de votre Conseiller », « Message non lu », « Votre facture XXX », « Changez de RIB », etc.
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS pièges destinés à vous connecter sur un Espace Client factice, afin de subtiliser vos codes au moment de la connexion. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à la vérification de vos comptes. -
• Les e-mails pièges relatifs à la réalisation d’opérations : ces e-mails malveillants concernent des opérations réalisées ou en cours de réalisation sur votre compte. Ils s’intitulent par exemple : « Votre compte est temporairement bloqué », « Une anomalie sur votre compte », « Annulation de virement », « Opposition de votre carte bancaire », etc.
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS de phishing destinés à vous rediriger sur un site Internet factice pour collecter vos informations personnelles via un formulaire. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à la gestion de vos comptes ou à votre carte bancaire. -
• Les messages de mise à jour de vos données : cette catégorie de phishing vous propose de mettre à jour vos données bancaires, votre Espace Client ou votre système de sécurité (antivirus, version de logiciels…). Ces messages mentionnent toujours le terme « Mise à jour », « Mettre à jour », “Mettre à jour DSP2” ou “Suite à la réglementaire DSP2, mettre à jour...” mais peuvent aussi avoir un objet plus générique comme « Vous avez un nouveau message ».
Attention : ces messages ne proviennent pas de SG. Il s’agit d’e-mails/SMS de phishing destinés à vous rediriger sur un site Internet factice pour collecter vos informations personnelles via un formulaire. SG ne vous sollicitera jamais directement sur votre adresse e-mail personnelle sans que vous ne soyez à l’initiative de la demande, pour des motifs liés à la gestion de vos comptes, à votre carte bancaire ou à vos moyens de sécurité.