Le métier d’escroc existe depuis des temps immémoriaux, mais l'Internet a ouvert les vannes à un tout autre niveau de fraude. Elle a permis aux fraudeurs de s'attaquer à un nombre infini de victimes et à un éventail de victimes qu'ils n'auraient jamais atteintes auparavant. Et avec le large éventail de nos renseignements personnels accessibles par Internet, tout tombe plus facilement entre les mains d’un escroc qu'auparavant.
Dans un sens, cependant, rien ne remplace les bonnes vieilles méthodes en matière d’arnaques. Le succès d'une escroquerie en ligne, y compris l'hameçonnage (la plus répandue de ces escroqueries), repose en grande partie sur la psychologie humaine. Plus précisément, tout tend à se résumer à la façon dont l'escroc peut exploiter certaines des choses mêmes qui font de nous des êtres humains. Et c’est une chose qui n'a pas beaucoup changé et ce, depuis pas mal de temps.
Au lieu d'élaborer un code spécial et de surmonter laborieusement les défenses techniques, « pirater l’humain » est généralement reconnu comme le moyen le plus facile de voler des données personnelles ou de l'argent en ligne. Puisque le thème du Mois européen de la cybersécurité de cette semaine tourne autour des escroqueries en ligne, jetons un coup d'œil dans la psychologie derrière ces escroqueries, révélant quelles erreurs de jugement et quels préjugés émotionnels ou cognitifs peuvent aveugler notre raisonnement. Après tout, plus nous sommes conscients de nos propres faiblesses, plus nous avons de chances de ne pas nous faire avoir.
Si près, et pourtant si loin
Malgré - ou peut-être grâce à - certaines limites évidentes en termes de proximité physique lorsqu'on parle du monde numérique, les escrocs romantiques sont capables d'établir des relations avec les victimes presque à leur (mauvaise) volonté. Comme dans le cas d'une véritable relation en ligne, ce ne sera probablement pas le coup de foudre à première vue et polir sa « marque de commerce » peut prendre un certain temps. Cependant, une fois que cette romance factice s’établit enfin, il est assez facile de passer à l'étape suivante - de séparer les victimes de cette séduction de leur argent.
Un certain nombre de forces influencent la vulnérabilité d'une victime potentielle à cette fraude ou contribuent à celle-ci. D'une part, nous affluons vers des sites de rencontres à la recherche d'une relation amoureuse. Ceci peut nous laisser quelque peu prédisposés à nouer des liens avec d'autres personnes et à prendre pour acquise la bonne foi du partenaire potentiel. Bien sûr, les arnaqueurs s'attaquent aussi aux utilisateurs de médias sociaux, où les usagers se retrouvent en premier lieu pour l'interaction sociale.
Le sentiment d'un lien interpersonnel (perçu ou réel) conduit également à un certain degré de dépendance, tout comme le besoin d'approbation de notre intérêt amoureux (qu’il soit réel ou factice). Et c'est aussi lorsque l'âme sœur tire sur nos cordes sensibles avec une demande urgente d'aide pour payer la facture du traitement de leur enfant, qui s'avère soudainement relié à un moniteur d'hôpital, que notre empathie et notre sympathie entrent en jeu.
Incontournable
D'autres projets visent à satisfaire certains appétits moins nobles que l'amour éternel, mais qui nous habitent. Nous avons probablement tous eu la « chance extraordinaire » de recevoir un courrier électronique nous promettant de recevoir une fortune, en échange de ce qui s’apparente généralement à des frais initiaux qui, quand on y pense, peuvent paraître tout à fait minuscules par rapport à la richesse promise. Ce message peut prendre un certain nombre de formes, dont l’arnaque du prince nigérian ou l’arnaque à la loterie. Cependant, toutes celles-ci visent, en fin de compte, à profiter de notre volonté de nous enrichir.
Si vous êtes comme la plupart des gens, vous avez probablement réfléchi au moins une fois à ce que ces sommes astronomiques promises vous permettraient d’acheter. On peut soutenir qu'il n'est pas toujours facile de penser clairement lorsqu'on a l'occasion d'échapper une fois pour toutes à l'école quotidienne. C'est d'autant plus vrai lorsque l'offre ajoute d'autres ingrédients au mélange. Ces ingrédients-clés des cybercriminels sont l'unicité (c'est vous, et non votre voisin ou votre belle-mère, qui avez reçu l'offre), la rareté (l’offre est limitée) et l'urgence (le meilleur moment pour agir, c’est hier).
Et, ce qui est peut-être tout aussi important : que se passerait-il si, malgré tous les signaux d'alarme qui vous incitent à faire demi-tour, l'occasion se présentait réellement? Ressentez-vous malgré tout ce sentiment tenace?
« Un certain nombre de forces influencent la vulnérabilité d'une victime potentielle à cette fraude ou contribuent à celle-ci. »
Ce qui complique encore les choses, c'est que si vous succombez, l'histoire ne s'arrête pas là pour vous - et certainement pas pour l'escroc. Au lieu de cela, vous devrez probablement faire face à davantage de demandes de « frais de traitement » supplémentaires toujours plus élevés, des pots-de-vin, etc. Il se peut que vous trouviez de plus en plus difficile de résister à ces plaidoyers, pour lesquels vous pouvez blâmer votre réticence à admettre une mauvaise décision et à abandonner tout espoir, ou un préjugé cognitif connu sous le nom d'erreur du coût irrécupérable. Ou, comme un joueur malchanceux, vous continuerez à « investir » de l'argent afin de récupérer vos pertes. Mais la maison gagne toujours.
Vite, vite
La nécessité d'« agir maintenant pour éviter la catastrophe » est un élément fondamental des campagnes d’hameçonnage, qui visent à nous piéger pour que nous divulguions nos identifiants de connexion, et d'autres escroqueries qui nous poussent à installer des logiciels malveillants. Sachant qu’en vous précipitant à agir immédiatement, ils risquent de brouiller votre jugement, les fraudeurs font tout ce qu'ils peuvent pour tenter d'invoquer un faux sentiment d'urgence.
Il est naturel que nous nous sentions obligés d'agir rapidement : nous ne voulons pas que quelqu'un s'en prenne à votre compte bancaire ou à votre courriel, ce qui est exactement l'objectif de l'alerte ou de la notification. Le sentiment d'appréhension peut suffire à nous distraire des signes avant-coureurs d'un problème qui, autrement, n'échapperait pas à notre attention.
Saluer (et mordre à l’hameçon)
Nous sommes surtout conditionnés à obéir aux autorités, et c'est ce respect et cette perception de l'autorité que les arnaqueurs se retournent contre nous dans leurs attaques. En fait, ils laissent la présence d'indices d'autorité et notre adhésion aux normes sociales faire le gros du travail à leur place.
En usurpant l'identité de la police, du fisc ou d'une autre autorité ou entité de confiance comme une banque, un fournisseur de paiements en ligne ou un fournisseur de services d’e-mail, les hameçonneurs tenteront de nous demander d'agir sous peine de subir des conséquences indésirables et généralement terribles. Tout comme le sentiment d'immédiateté, lorsque nous sommes saisis par la peur ou la panique, notre capacité de penser de façon critique peut céder la place à des actions impulsives.
Sommes-nous trop confiants?
Si cette confiance (excessive) peut s’avérer utile dans de nombreuses situations, elle peut aussi fausser la perception que nous avons de nos propres forces et faiblesses, nous laissant vulnérables et convaincus que « ça n’arrive qu’aux autres ». En fin de compte, cela peut aussi aider à expliquer pourquoi certaines personnes tombent dans le piège des campagnes d'hameçonnage et pourquoi elles le font de façon répétée. Le rapport d'enquête de Verizon sur les atteintes à la protection des données affirmait récemment que « plus le nombre de courriels d'hameçonnage sur lesquels quelqu'un a cliqué auparavant est élevé, plus il est susceptible de cliquer sur d’autres liens à l'avenir. »
Ce même rapport a également constaté que 4 % des personnes participant à une campagne d'hameçonnage mordent à l’hameçon. Il est vrai que ces campagnes ont été simulées et qu'elles peuvent varier dans la mesure où elles reflètent des campagnes réelles. Mais d'autres campagnes seront réelles, et nous devons être prêts à nous protéger.
Pour en savoir plus sur les conseils pour repérer un message d'hameçonnage, consultez nos « 5 façons simples de vous protéger contre les attaques de phishing ». Pour une plongée plus approfondie dans les moyens de reconnaître l'hameçonnage dans une mer de courriels, visitez l’article « Phish Allergy – Recognizing Phishing Messages », de David Harley. Si vous êtes plutôt vidéaste, nous vous invitons à écouter la vidéo suivante : « Les courriels d'hameçonnage et comment les éviter. »
C'est loin de faire le tour de la question, bien sûr. Voici d'autres articles ou documents intéressants qui traitent du sujet des escroqueries sous différents angles :
Phish phodder: is user education helping or hindering?
Is your valentine for real? Six signs you might be falling for an online dating scam
Tech support scams and the call of the void
5 things you need to know about social engineering
Catch me if you can: Can we predict who will fall for phishing emails?
This test will tell you how likely you are to fall for fraud