Spear phishing: quand les fraudeurs mènent des attaques ciblées

Les fraudeurs déploient des trésors d’ingéniosité pour parvenir à leurs fins. Les attaques dites de spear phishing constituent par exemple une menace majeure et s’avèrent particulièrement efficaces. Même si cette fraude est difficile à détecter, il est possible de la prévenir. Voici les principales questions et réponses à ce sujet.

Quelle est la différence entre le spear phishing et le phishing?

Ces deux formes de phishing constituent des cyberattaques. Les fraudeurs veulent pousser leurs victimes à transmettre des données personnelles sensibles ou accéder à leurs comptes au moyen de liens frauduleux et de faux formulaires de contact. Les destinataires sont par exemple invités à cliquer sur un lien qui les redirige vers un site web frauduleux. Une fois sur le site, on leur demande de saisir leurs données d’utilisateur et leur mot de passe. Ces informations atterrissent directement chez les cybercriminels.

Comment procèdent les spear phishers?

Les fraudeurs effectuent des recherches approfondies sur leurs victimes potentielles. Que ce soit sur Internet, sur les réseaux sociaux ou sur d’autres sources publiques, ils cherchent à accumuler un maximum d’informations sur la vie, le travail, la famille, les amis et les connaissances de leurs victimes. Ils découvrent ainsi les lieux que l’on fréquente, les boutiques en ligne où l’on effectue nos achats et les prestations bancaires que l’on utilise. Ils utilisent ensuite ces informations pour mener une attaque sur mesure. Le procédé est certes fastidieux, mais les chances de succès sont plus élevées par rapport à un phishing classique.

Pourquoi le spear phishing est-il efficace?

Les messages envoyés contiennent de nombreux détails personnels: ils inspirent confiance aux victimes. Les destinataires reçoivent par exemple des e-mails dans lesquels la formule de politesse, l’adresse ou le nom d’utilisateur sont corrects. La personne ciblée a ainsi l’impression que le message ou la demande a une légitimité réelle et provient, par exemple, d’une véritable banque ou de personnes ou organisations qu’elle connaît. Autrement dit, ces attaques sont soigneusement préparées, bien exécutées et donc difficiles à détecter.

Comment reconnaître les tentatives de fraude?

Certains signaux d’alarme doivent attirer l’attention. Les fraudeurs cherchent à créer un sentiment d’urgence ou de panique dans leur message – par exemple en prétendant que les données de connexion vont bientôt expirer et qu’il faut les modifier immédiatement en cliquant sur un lien figurant dans l’e-mail. D’autres fois, ils veulent déclencher un sentiment de peur ou de culpabilité afin de pousser les destinataires à agir. Il convient également d’être prudent lorsque l’on nous demande des informations sensibles et des données personnelles, que le message contient des pièces jointes indésirables portant des noms de fichiers inhabituels ou que les liens sont mal orthographiés ou mal formatés.

Comment empêcher le spear phishing?

On peut se protéger efficacement contre le spear phishing en prenant des mesures préventives.

• Soyez méfiant et vérifiez les e-mails suspects, par exemple ceux qui vous demandent de changer votre mot de passe.
• Ne cliquez pas sur les liens douteux, mais rendez-vous directement sur le site web de l’organisation, de la banque ou de l’entreprise.
• Ne divulguez pas de données sensibles à votre sujet. Vérifiez au besoin vos profils sur les réseaux sociaux et effacez tout ce qui pourrait être utilisé par les fraudeurs. Contrôlez régulièrement les paramètres de confidentialité.
• En cas de doute quant à l’origine d’un e-mail, contactez l’expéditeur en utilisant les coordonnées officielles. Ainsi, vous pouvez vérifier si le message provient véritablement de lui et s’il a demandé les informations souhaitées.
• Utilisez un logiciel antivirus pour vérifier si les e-mails contiennent des pièces jointes, des liens ou des téléchargements malveillants. Attention: aucun outil ne remplace la vigilance des utilisatrices et utilisateurs.

Que propose la nouvelle assurance VZ contre le phishing?

L’assurance VZ contre le phishing couvre les dommages pécuniaires résultant de l’accès frauduleux aux prestations de VZ. En font partie les plateformes et prestations suivantes:

• Carte de débit VZ: paiements abusifs effectués après une attaque de phishing
• VZ TWINT: paiements ou virements abusifs effectués après une attaque de phishing
• VZ Portail financier, y compris les comptes courants de VZ Banque de Dépôt: virements abusifs effectués après une attaque de phishing

Bon à savoir: les couples ne paient la prime qu’une seule fois. Chaque personne doit toutefois souscrire elle-même sa propre assurance.

Vous souhaitez en savoir plus sur l’assurance VZ contre le phishing? Vous trouverez des informations complémentaires ici ou vous pouvez contacter votre conseillère ou votre conseiller à ce sujet, qui vous aidera volontiers.