«Les mots de passe sont vendus sur le darknet»
3. Du simple phishing à l’ingénierie sociale complexe
Les cybercriminels n'utilisent pas seulement des outils techniques, ils exploitent aussi les vulnérabilités des individus.
La tromperie la plus répandue dans ce domaine est la technique de l’hameçonnage (ou «phishing» en anglais). «Des messages trafiqués sont expédiés automatiquement à des milliers de personnes, en prenant l’apparence d’une entreprise ou d’une institution connue de tous», explique Max Klaus.
Des e-mails peuvent par exemple être générés au nom d’une banque. «Le message fait alors état d’un problème avec le compte ou la carte bancaire et propose de cliquer sur un lien pour régler le problème, poursuit l’expert. Il faut ensuite généralement entrer certaines données (mot de passe, numéro de client, numéro de contrat, etc.) qui seront sauvegardées par le cybercriminel et utilisées pour accéder au compte d’e-banking.»
Certaines sociétés ont créé des postes de spécialistes anti-fraudes, notamment pour lutter contre l’utilisation de leurs plateformes et de leur image par des cybercriminels. C’est le cas du groupe Scout24, propriétaire, entre autres, des sites ImmoScout24 et Anibis, qui surveille de près la création de comptes frauduleux ou l’envoi d’e-mails de phishing arborant le logo de ses plateformes. «En croyant accéder à nos services, les personnes livrent leurs données de connexion, explique Jelena Moncilli, spécialiste anti-fraudes du groupe. Ces adresses et mots de passe sont ensuite vendus sur le dark web. Nous avons mis en place un certain nombre de garde-fous pour empêcher l’usurpation de comptes existants ou la création de comptes frauduleux, avec des procédures de double authentification, l’obligation d’avoir un numéro mobile fourni par un opérateur en Suisse, un chat intégré qui détecte l’utilisation d’un langage suspect
par un arnaqueur, etc. Nous appelons également à la vigilance des utilisateurs et faisons de la prévention.» (Lire encadré sur les fausses ventes.)
Le phishing est considéré comme une forme simple d’«ingénierie sociale». Ce concept regroupe toute forme de manipulations psychologiques poussant la victime à prendre de mauvaises décisions, telles que la divulgation d’informations confidentielles, l’achat d’un produit ou le déblocage de fonds.
«Des e-mails proposant des investissements juteux en sont un autre exemple, explique Max Klaus. Ils promettent de gagner beaucoup d’argent, contre un faible investissement au départ.
Au début, les gains sont intéressants. La victime dépose par exemple 100 francs et gagne 150 francs très rapidement. Le criminel profite de cette phase d’euphorie pour demander davantage d’argent et, une fois les sommes plus importantes virées, le compte est vidé.»