Les fêtes de fin d'année sont malheureusement propices aux cyberescroqueries, les cybercriminels tentant de profiter de la générosité et de l'esprit de partage qui caractérisent cette période. Il est donc essentiel de faire preuve de vigilance.
S'il est encore trop tôt pour dégager et analyser des tendances saisonnières, nous anticipons l'émergence de plusieurs nouvelles techniques créatives chez les cybercriminels, qui coexisteront avec les tactiques qui ont fait leurs preuves lors des années précédentes.
De l'IA générative qui favorise les attaques par téléphone (TOAD, Telephone-Oriented Attack Delivery) au contournement de l'authentification multifacteur (MFA) qui exploite des avis de livraison, voici déjà cinq prédictions de tendances auxquelles vous devrez être attentifs en cette fin d'année et qui ne manqueront pas d'évoluer en même temps que le paysage des menaces au cours de l'hiver.
1. L'IA générative compliquera les détections de menaces
Tout le monde en parle depuis l'hiver dernier... Il s'agit bien sûr de l'intelligence artificielle générative. Cette technologie émergente pourrait bien changer la donne en matière de création d'emails contenant ces fameuses offres « trop belles pour être vraies ». Les emails de livraison frauduleux demeurent le grand favori des cybercriminels, et leur fréquence s'accentue pendant les fêtes de fin d'année. Nul n'a envie d'avoir un problème avec un article qu'il a acheté ou un colis qu'il a envoyé.
L'année passée, bon nombre de ces tentatives de phishing présentaient les indices habituels de ce genre de menaces, à savoir des fautes de grammaire ou des structures langagières non naturelles, ce qui permettait de les repérer en un clin d'œil. Mais cette année, nous nous attendons à ce qu'un grand nombre de cybercriminels aient recours à l'IA générative pour rédiger leurs emails et SMS, compliquant ainsi la détection.
Dès lors, approfondissez votre analyse lorsque vous essayez de déterminer si un avis de livraison reçu pendant la période festive est légitime ou une tentative d'escroquerie. Examinez attentivement les messages et posez-vous les questions suivantes:
- Le message est-il générique ou personnalisé ?
- Vous demande-t-il de fournir des informations sensibles superflues ?
- Le nom d'affichage de l'expéditeur correspond-il bien à l'adresse email ? (Cela fait partie des vérifications que l'on vous enseigne dans les formations de sensibilisation à la sécurité informatique.)
- Vous demande-t-on de payer des frais pour recevoir un colis ? (Remarque : dans ce cas, il vaut mieux refuser la livraison jusqu'à ce que vous soyez en mesure de vérifier la légitimité de l'envoi.)
2. Les attaques par téléphone seront sans doute optimisées par l'IA
Les attaques de phishing par téléphone (TOAD, Telephone-Oriented Attack Delivery) font désormais partie de l'arsenal standard des cybercriminels, et incitent les utilisateurs à exécuter des actions dangereuses lors de communications téléphoniques. La rédaction à l'aide de l'IA générative pourrait accroître la crédibilité des attaques par téléphone sur le thème des fêtes de fin d'année.
Vous souhaitez bloquer un achat coûteux sur votre carte de crédit ou profiter d'une remise exceptionnellement élevée sur un voyage ? Contactez ce (faux) centre d'appels ! Si un email généré par l'IA imite correctement celui d'une entreprise légitime, il y a plus de risques que la victime tombe dans le panneau et appelle le numéro mentionné.
L'IA générative permettra sans doute également d'étendre les escroqueries aux voyages à l'échelle internationale. Par exemple, à chaque Noël et Nouvel An, nous observons l'apparition d'emails en anglais de ce type qui ciblent un public occidental. Mais le Nouvel An lunaire en Chine, en Corée du Sud, au Vietnam et à Hong Kong est aussi l'occasion de nombreuses festivités et déplacements. Les cybercriminels qui ne possèdent pas les connaissances culturelles ou linguistiques nécessaires pour cibler ces populations pourraient désormais utiliser des outils d'IA en libre accès pour identifier des expériences qui trouveront écho auprès des consommateurs et créer des leurres attrayants et localisés.
Heureusement, l'IA générative ne va sans doute pas améliorer les interactions avec le faux centre d'appels. Si vous appelez ce dernier, il devrait rester possible de détecter des indices d'une intention malveillante. Ainsi, méfiez-vous si « l'opérateur » :
- suit clairement un script ;
- insiste pour que vous effectuiez une action ;
- parle avec un accent d'une région où sont souvent mis en place ces centres d'appels frauduleux, selon votre formation à la sensibilisation à la sécurité informatique.
3. Le contournement de la MFA pourrait devenir plus fréquent
Le contournement de l'authentification multifacteur (MFA) a gagné en popularité l'année dernière, et nous continuons à observer une augmentation du nombre de leurres qui utilisent cette technique. Les cybercriminels volent les identifiants en temps réel en interceptant le code MFA au moment où la victime le saisit sur une page de connexion fausse ou compromise.
Comme il s'agit d'une tendance en hausse, nous nous attendons à voir ces techniques appliquées cette année aux leurres axés sur les fêtes de fin d'année. Les entreprises envoient beaucoup de confirmations de commandes et d'avis de livraison en période de fêtes. En tant que destinataire, vous êtes tenté de vous contacter à votre compte UPS, FedEx ou DHL plus fréquemment lorsque vous attendez des colis (et espérez les recevoir à temps).
Les cybercriminels vont vraisemblablement tirer avantage de ce trafic plus intense et de l'anticipation des consommateurs. Ils mettent au point des emails de phishing sur le thème des fêtes qui se mêlent aux vrais messages, et ils imitent la présentation des notifications légitimes. Il est ainsi plus facile pour eux de diriger les consommateurs vers des pages de connexion compromises ou de faux sites Web, qui intercepteront et captureront les identifiants MFA.
Pour éviter le contournement de la MFA, mieux vaut ne pas réagir aux messages de vente et de livraison inattendus. Évitez de cliquer sur des liens présents dans des emails ou SMS non sollicités ou inhabituels. Si vous souhaitez confirmer un achat ou une livraison, adressez-vous directement à une source légitime en tapant l'adresse du site Web ou en appelant un numéro de contact connu.
4. Les escroqueries aux cartes cadeaux auront toujours les faveurs des cybercriminels
Les cartes cadeaux sont pratiques et appréciées — même par les cybercriminels. Les escroqueries aux cartes cadeaux constituent donc une menace perpétuelle, qui gagne cependant en intensité aux alentours des fêtes de fin d'année. Ce type de piratage de la messagerie en entreprise (BEC, Business Email Compromise) prend la forme d'une campagne d'ingénierie sociale, dans le cadre de laquelle les cybercriminels se font passer pour un dirigeant de l'entreprise ayant besoin d'aide pour organiser une prime de fin d'année pour le personnel.
Ce type d'escroquerie commence souvent par un bref SMS ou email destiné à évaluer votre degré de réceptivité. Les messages suivants vous demandent d'acheter des cartes cadeaux de grande valeur avec le compte de l'entreprise, ou d'en avancer le montant contre un remboursement ultérieur. L'objectif ? Vous inciter à acheter des cartes cadeaux et à leur envoyer le numéro et le code PIN correspondants.
Ces messages semblent souvent crédibles parce qu'ils exploitent la confiance établie dans les relations personnelles et professionnelles. Ils jouent également sur les sentiments de la victime, qui sera fière de se voir confier une tâche importante par un cadre dirigeant ou de contribuer à une initiative positive, qui fera plaisir à ses collègues.
En période de fêtes, il est important de rester vigilant face à des signaux d'alerte tels que des appels à vos émotions. Prenez soin de confirmer ce type de demande auprès du cadre dirigeant supposé s'adresser à vous, en le contactant par un autre canal afin d'en vérifier la légitimité.
5. Dans les escroqueries aux œuvres caritatives, celui qui sollicite le don est toujours le bénéficiaire
Les cyberattaques exploitent souvent le facteur émotionnel, et les arnaques aux dons pendant les fêtes en sont un parfait exemple. Les cybercriminels mettent sur pied de fausses associations sans but lucratif ou créent des sites Web qui imitent des organisations caritatives bien connues. Et ils emploient des emails de phishing aux œuvres caritatives chaque année parce qu'ils sont efficaces.
En cette fin d'année, nous nous attendons à voir les cybercriminels utiliser les sollicitations de dons habituelles de type « offrez un repas », ou pour aider les plus démunis pendant l'hiver. Il est probable qu'ils utilisent également des sujets d'actualité comme leurres afin de tirer parti de la situation internationale. Ne soyez donc pas surpris de voir fleurir des escroqueries qui exploitent des crises humanitaires, des catastrophes naturelles ou des conflits armés.
En la matière, votre vigilance doit s'étendre au-delà des emails et des SMS, car les cybercriminels exploitent tous les canaux à leur disposition. Vous pourriez observer des techniques similaires lors d'appels téléphoniques, sur les réseaux sociaux, sur des documents imprimés ou dans des publicités trompeuses.
Le meilleur moyen d'éviter les imposteurs est de travailler directement avec des organisations caritatives légitimes et des programmes de soutien bien établis. Par exemple, contactez une association en saisissant directement son adresse dans votre navigateur, plutôt que de cliquer sur un lien d'appel aux dons figurant dans un message non sollicité.
Renforcez votre protection grâce à notre kit gratuit
À l'approche des fêtes, nous pourrons déterminer si ces tendances et techniques émergent effectivement, dans quelle mesure les cybercriminels les utilisent et quel est leur impact.
En attendant, comment s'assurer que les messages et canaux avec lesquels vos utilisateurs interagissent sont sûrs et légitimes ? Et comment les aider à éviter les pièges ?
Le meilleur moyen de préserver vos collaborateurs est de leur proposer une formation de sensibilisation à la sécurité informatique. Le kit gratuit « Fêtes de fin d'année 2023 » de Proofpoint peut vous aider. Nous proposons une campagne de quatre semaines destinée à soutenir vos initiatives de sensibilisation, à lancer à l'approche des festivités de décembre et en début d'année. Voici ce que contient le kit :
- Semaine 1 : Conseils pour acheter en ligne en toute sécurité
- Semaine 2 : Identifier les messages de phishing qui exploitent le thème des voyages
- Semaine 3 : Repérer les escroqueries aux œuvres caritatives
- Semaine 4 : Clôture avec un jeu à thème
Téléchargez notre kit « Fêtes de fin d'année 2023 » ici.