Les fêtes de fin d’année approchent, et malheureusement, elles sont souvent synonymes d’escroqueries. D’après l’Internet Crime Complaint Center (IC3) du FBI, l’année dernière, près de 12 000 personnes sont tombées dans le piège d’escroqueries liées aux fêtes de fin d’année, ce qui a entraîné des .
Dans cet article, nous nous intéresserons à certains thèmes et tactiques de phishing courants utilisés pendant les fêtes, afin de vous aider, vous et vos collaborateurs, à rester protégés contre les cybercriminels en cette fin d’année.
Quatre escroqueries basées sur l’IA qui circulent pendant les fêtes
Les menaces basées sur l’IA ressemblent aux menaces que nous observons chaque année au moment des fêtes, sauf qu’elles sont plus sophistiquées et plus difficiles à identifier. Restez à l’affût de ces quatre escroqueries populaires.
1. Escroqueries au shopping
S’il est tentant de se ruer sur les offres à durée limitée et les réductions spéciales, cette précipitation peut être exploitée par les cybercriminels. Ils peuvent par exemple rediriger les victimes vers des sites Web de phishing qui proposent des articles de luxe, des produits électroniques ou des marques de vêtements populaires à des prix étonnamment bas. Ces dernières années, les chercheurs spécialisés en cybermenaces ont constaté que les cybercriminels enregistrent des milliers de domaines usurpant l’identité de marques internationales de renom, puis les utilisent pour lancer des campagnes de phishing de grande ampleur.
Avec l’avènement de l’IA générative, la création de faux magasins en ligne est plus facile et rapide que jamais. Auparavant, la génération d’outils favorisant la fraude pouvait prendre des heures. Avec l’IA générative, elle ne prend que quelques secondes. Ces sites frauduleux affichent des logos volés, des domaines similaires et des designs sophistiqués qui imitent de près des détaillants légitimes.
Les victimes qui effectuent un paiement sur ces faux sites de vente au détail reçoivent des produits de contrefaçon ou ne reçoivent rien du tout. Pire encore, elles communiquent à leur insu leurs informations personnelles, y compris leurs numéros de carte de crédit, à des cybercriminels.
Modèle de phishing tiré de Proofpoint ZenGuide simulant une escroquerie au shopping Amazon et reposant sur une attaque réelle
2. Escroqueries à la livraison
Tout comme les offres flash créent un sentiment d’urgence, les mises à jour concernant la livraison sont un type de notification rarement ignoré. La plupart des gens interviennent immédiatement en cas de problème apparent avec une livraison.
Les cyberescrocs excellent dans l’art d’exploiter la psychologie humaine, surtout lorsqu’il s’agit de jouer sur la peur. Les cybercriminels utilisent généralement des emails ou des SMS pour usurper l’identité de sociétés de livraison comme UPS, FedEx, DHL ou USPS. Ces escroqueries comprennent habituellement des échecs de livraison, des informations de livraison incomplètes ou des colis perdus ou soi-disant retenus en attente d’un paiement.
Récemment, les cybercriminels ont perfectionné leurs tactiques pour inclure les codes QR en tant qu’outils de phishing. Plutôt que d’intégrer directement des URL malveillantes, ils incorporent des codes QR que les victimes sont invitées à scanner. Cette technique émergente, appelée phishing par code QR, ou quishing, a gagné du terrain en partie à cause de l’adoption généralisée des codes QR pendant la pandémie de COVID-19.
Modèle de phishing tiré de Proofpoint ZenGuide simulant une escroquerie de livraison DHL et basé sur une attaque réelle
3. Escroqueries aux voyages
Pendant les fêtes de fin d’année, beaucoup de gens recherchent des vols abordables et des réductions sur les chambres d’hôtel. Les cybercriminels profitent de la situation en créant de faux sites de réservation de voyages qui affichent des prix irrésistiblement bas.
Par exemple, les cyberescrocs créent souvent des sites Web qui usurpent l’identité d’agences de voyages en ligne bien connues. Ces sites mettent en avant des offres en apparence incroyables. Si les victimes tombent dans le piège, elles finissent généralement par payer plus que le prix affiché ou reçoivent des réservations non valides sans possibilité de se faire rembourser.
Modèle de phishing tiré de Proofpoint ZenGuide simulant une escroquerie aux voyages Expedia et basé sur une attaque réelle
Avec l’essor de l’IA, ces escroqueries ont gagné en sophistication. Les cybercriminels ont désormais recours à l’IA générative pour créer des leurres de phishing convaincants dans plusieurs langues. S’il était auparavant facile de détecter les emails frauduleux grâce à leurs fautes de grammaire et d’orthographe, ce n’est plus le cas aujourd’hui. Les cybercriminels peuvent désormais abattre facilement les barrières linguistiques et culturelles.
Imaginez le scénario suivant : un cybercriminel qui ne parle pas allemand souhaite lancer une escroquerie aux voyages qui cible des germanophones. Les outils d’IA permettent de générer des emails grammaticalement corrects et d’apparence crédible qui usurpent l’identité de n’importe quelle compagnie aérienne allemande. Ces messages incluent des éléments clés (logos, images de haute qualité, texte grammaticalement correct, etc.), qui les font paraître légitimes.
Modèle de phishing tiré de Proofpoint ZenGuide simulant une escroquerie aux voyages et généré par l’IA
4. Escroqueries aux œuvres caritatives
Les arnaques aux œuvres caritatives sont peut-être l’une des tactiques les plus préoccupantes sur le plan éthique. Les cyberescrocs savent que les gens sont généralement plus généreux pendant les fêtes de fin d’année et en profitent pour les piéger. Non seulement ils volent de l’argent, mais ils s’emparent également d’informations personnelles à des fins d’usurpation d’identité.
Pour ce faire, ils créent par exemple de fausses organisations qui profitent de la générosité du public. Plusieurs entités gouvernementales américaines, dont l’administration fiscale (IRS, Internal Revenue Service) et la FTC (Federal Trade Commission), ont émis des avertissements concernant les organisations qui refusent de fournir des informations détaillées les concernant. Vous devez également vous méfier si une organisation vous pousse à faire un don immédiat. N’oubliez pas : les organisations caritatives légitimes acceptent les dons à n’importe quelle période et sont transparentes sur leurs opérations.
Les campagnes frauduleuses de don de jouets sont une escroquerie courante. Dans un premier temps, les victimes sont invitées à fournir des informations personnelles. Elles se voient ensuite sommées de partager leurs informations de carte de crédit ou d’effectuer des virements bancaires vers des comptes frauduleux.
Modèle de phishing tiré de Proofpoint ZenGuide simulant une escroquerie aux œuvres caritatives et basé sur une attaque réelle
Conseils pour rester protégé pendant les fêtes
L’IA générative facilite la tâche des cybercriminels et accroît la sophistication et l’évolutivité de leurs escroqueries de phishing. Toutefois, les menaces basées sur l’IA n’introduisent aucune nouveauté par rapport au paysage actuel des menaces. Les consignes générales de sécurité restent donc les mêmes.
Voici quelques conseils pour éviter les escroqueries pendant les fêtes de fin d’année. Partagez-les avec vos collaborateurs et vos collègues pour les aider à identifier et à éviter les escroqueries basées sur l’IA qui circulent pendant les fêtes :
- Méfiez-vous des offres ou des réductions qui semblent trop belles pour être vraies.
- Accédez directement aux sites Web officiels des détaillants ; ne cliquez pas sur des liens intégrés.
- Soyez prudent lorsqu’un message exige une action immédiate.
- Vérifiez l’identité de l’expéditeur par le biais de canaux alternatifs.
- Survolez toujours les adresses email pour afficher les informations complètes de l’expéditeur et ainsi identifier une éventuelle usurpation du nom d’affichage.
- Concentrez-vous sur l’intention du message plutôt que sur la grammaire ou l’orthographe ; ces signaux d’alerte sont aujourd’hui beaucoup moins fiables qu’avant.
- Activez l’authentification à deux facteurs chaque fois que possible.
Votre cadeau pour les fêtes de fin d’année
Nous avons le plaisir de vous offrir le kit Fêtes de fin d’année pour renforcer votre sécurité en cette fin d’année. Ce kit propose une campagne de quatre semaines destinée à soutenir vos initiatives de sensibilisation à la cybersécurité :
- Semaine 1 : Conseils pour acheter en ligne en toute sécurité
- Semaine 2 : Identifier les messages de phishing qui exploitent le thème des voyages
- Semaine 3 : Repérer les escroqueries aux œuvres caritatives
- Semaine 4 : Clôture avec un jeu à thème