De plus en plus d’aînés utilisent activement des plateformes numériques comme WhatsApp, le courriel ou les réseaux sociaux pour communiquer, s’informer et rester en contact avec leurs proches. Bien que ce soit une excellente nouvelle, cette réalité a aussi un côté plus sombre. En effet, les personnes plus âgées sont souvent plus vulnérables aux arnaques et à toutes sortes d'arnaques en ligne, dû notamment au fait qu’elles n’ont pas grandi avec ces technologies. C'est pourquoi, dans le cadre de notre série de formation sur la sécurité pour souligner la Journée anti-logiciel malveillant 2019, nous avons décidé de consacrer un article spécifiquement aux utilisateurs plus âgés. Cet article vise à les aider à reconnaître et se prémunir contre certaines des techniques de fraude les plus courantes, dont les tentatives de hameçonnage (ou phishing) par e-mail, WhatsApp ou des réseaux sociaux tels que Facebook ou Instagram.
Il arrive souvent que des adultes utilisant ces plateformes cliquent sur des liens douteux, remplissent des formulaires avec leurs données personnelles ou partagent une fausse offre et ce, sans se méfier. Cela est dû en grande partie au fait qu'ils ne sont pas conscients des risques qui existent dans l'environnement numérique et de la façon dont les criminels agissent lorsqu'il s'agit de développer leurs tromperies, ce qui fait d'eux une cible facile à arnaquer.
Vous aimerez également : 5 façons simples pour se protéger du phishing
Un article récent du New York Times affirmait que les arnaqueurs trouvent les publics les plus vulnérables chez les aînés. On y racontait notamment l'histoire d'une femme qui a utilisé Internet pour acheter un chien et qui, après avoir effectué une recherche sur Google, est entrée sur un faux site qui a usurpé l'identité du site auquel elle pensait accéder. Ce qui s'est finalement produit, c'est qu'après avoir écrit un courriel à la société présumée et s'être vu offrir un rabais sur le prix du chiot qui l'intéressait, la femme et son mari se sont retrouvés trompés, mais pas sans avoir d'abord transféré 750 dollars aux fraudeurs.
L'hameçonnage : une tromperie toujours aussi florissante que dangereuse
Bien que les criminels utilisent différents modus operandi pour mener leurs campagnes de tromperie, nous nous concentrerons ici sur un exemple particulier, qui se démarque par sa fréquence et sa redoutable efficacité : le hameçonnage.
En général, ce modèle de tromperie commence par un message ou une publication qui parvient à la victime par un moyen numérique, comme le courrier électronique ou un réseau social, dans lequel les criminels se font passer pour une entité ou une marque de confiance pour que la victime prenne une mesure contraire à ses intérêts, comme donner son mot de passe, son numéro de carte de crédit ou autres données personnelles.
Bien que cette pratique malveillante remonte à plus de 20 ans, elle demeure très efficace pour les cybercriminels, principalement parce que les utilisateurs peinent à la reconnaître efficacement.
Ci-dessous, nous expliquons de manière simple comment reconnaître une attaque de phishing, selon les méthodes que nous avons identifiées comme les plus courantes, dans les plateformes suivantes : email, WhatsApp, Facebook et Instagram.
Hameçonnage par courriel
Sur WeLiveSecurity, vous trouverez de nombreux articles sur diverses campagnes de phishing que nous avons analysées. La plupart de celles-ci sont envoyées par courrier électronique et usurpent généralement l'identité des banques, des services de paiement en ligne, de marques de vêtements ou d'une compagnie aérienne, parmi tant d'autres.
Tout commence par un courriel concernant une offre irrésistible, un problème dans le compte de l'utilisateur ou une autre excuse, cherchant à susciter l'intérêt ou la peur des victimes potentielles. Bien que le courriel puisse contenir une pièce jointe, que nous ne devrions pas télécharger ou ouvrir si nous ne sommes pas certains qu'il s'agit d'un courriel légitime (parce qu'il peut contenir des logiciels malveillants), la technique la plus fréquemment utilisée est un lien qui nous amène à un site externe où nos renseignements seront volés.
À titre d'exemple, nous avons récemment abordé des campagnes d'hameçonnage par courrier dans lesquelles l'identité de Netflix a été usurpée, des messages (emails ou SMS) prétendant provenir du ministère du revenu, ne plateforme de paiement en ligne bien connue, une banque colombienne et une autre au Pérou, ainsi que des campagnes d'hameçonnage simulant des services d’achat en ligne tels que Amazon.
Phishing via WhatsApp
Comme dans les autres plateformes décrites dans cet article, avec l'arrivée de WhatsApp, les criminels ont trouvé un scénario qui leur a permis de reproduire ce modèle de tromperie.
Contrairement à la façon dont le message arrive par courrier, dans le cas de WhatsApp, il s'agit généralement d'un message qui contient un lien et nous envoie un contact qui le partage en croyant qu'il s'agit de quelque chose de légitime, comme ce fut le cas, par exemple, pour ces campagnes détectées cette année où l'identité de Spotify, de Nespresso, de WhatsApp ou de Nike.
Le hameçonnage sur Facebook
Les campagnes d'hameçonnage sur Facebook peuvent être effectuées par message privé. Cependant, contrairement à WhatsApp ou au courriel, l'hameçonnage sur Facebook fonctionne aussi par des publications sur un mur et pouvant aller d'une fausse publicité à la publication d'un contact qui, probablement victime d'une tromperie, a publié une information qui mène vers un site qui cherche à voler vos informations.
Certaines campagnes d'hameçonnage sur Facebook que nous avons analysées au cours des dernières années étaient, par exemple, des tromperies dans lesquelles la victime était étiquetée dans la publication d'une supposée vidéo, comme par exemple ici, ou ce cheval de Troie bancaire se faisant passer pour une publicité pour McDonald’s.
Hameçonnage sur Instagram
Parmi les quatre plateformes analysées ici, Instagram est la plus récente. Comme sur Facebook, dans ce réseau social, la plupart des campagnes d'hameçonnage partent de fausses publicités qui dirigent les victimes vers des sites d'achat ou cherchent à voler des informations après avoir rempli un formulaire, mais elles peuvent aussi partir d'un message direct d'un inconnu qui attire votre attention.
Une campagne d'hameçonnage bien connue qui circule depuis longtemps dans Instagram se fait passer pour la marque de lunettes Ray Ban et cherche à voler les données personnelles et les informations de connexion des usagers d’Instagram. Généralement, dans cette campagne, après avoir volé les références du compte Instagram de la victime, elle publie dans le compte volé des annonces d'offres de lunettes Ray Ban.
Conclusion
L'hameçonnage est encore une technique qui fait de nombreuses victimes en raison de l'ignorance des utilisateurs. Nous espérons que cette publication pourra être utile aux personnes âgées et qu'elles pourront apprendre à reconnaître ce type de tromperie lorsqu'elle se produit. D'autre part, en plus de connaître les menaces et les risques qui existent en ligne, nous vous recommandons d'utiliser une solution antivirus sur votre ordinateur et vos appareils mobiles et d'activer l’authentification multifactorielle sur chacune des plateformes qui offrent cette option.