Attention au phishing ! (hameçonnage)
Un SMS reçu ce matin sur mon téléphone, m’a fait comprendre la nécessité de vous partager des techniques récentes de “hameçonnage” ou pishing. Les vols de données se sont multipliés ces derniers temps et Facebook n’a pas échappé à la règle. La coupure géante de Facebook, Instagram et WhatsApp pourrait indiquer un énorme vol de données. Il est temps de faire un point et d’adopter de nouveaux réflexes.
-
Les vols de données récents
Quand on vous disait que la données était devenue le “pétrole” du XXIème siècle peut d’entre nous on imaginé que cette valeur ne serait exploitée que par des “gentils” pro du marketing. (Quant on sait ce qui est fait “légalement” avec nos données déjà ça peut inquiéter voici un article de Capital à consulter). DOnc vu la valeur de la “data” le dark web s’est fait une spécialité de la revente de fichier entiers. ET cela a commencé en 2013 avec le hacking…. de la CIA !
Pour résumer citons quelques exemples de sites qui ont eu des données volées : Adobe, Dailymotion, Dropbox, Tumblr, Ledger, Disqus, Bitly, Nexus Mods, Kickstarter, Patron, CD Project Red, Twitch, Forbes, Warframe, Battlefield Heroes, Yahoo, OVH, Avast, uTorrent, Epic Games, Sony ou encore BitTorrent (et à confirmer Facebook). On peut citer en France l’ensemble de la base des test anti-géniques en septembre (avec donc en plus le Numéro de Sécu)
2. De nouvelles manières de procéder
Ce matin “mon banquier” m’écrit par SMS (donc mon N° de portable à bien été revendu sur le DarkWeb) qu’il vient de m’envoyer un chéquier et que si je ne le reçois pas sous 5 jours je dois le contacter. C’est bine sûr un bon mayen d’entrer en contact avec moi. Manque de bol je ne suis pas à cette banque !
Cela peut être plus sournois avec un appel auquel il faut répondre ou numéro que l’on vous demande de rappeler. Ce numéro surtaxé rappelé est un moyen de vous extorquer automatiquement des fonds.
Mais comme les données volées sont de plus en plus importantes, de nouvelles techniques apparaissent. Exemple :“J’ai reçu en octobre 2020 un e-mail prétendument envoyé par Ledger où apparaissaient toutes mes données personnelles. Je n’y ai pas immédiatement donné suite, mais un SMS comportant mon prénom, reçu trois jours plus tard et faisant écho à cet e-mail, m’a poussé à faire une supposée mise à jour en indiquant ma clé privée. C’est à la suite de cette opération que toutes mes cryptos ont disparu”, déclare-t-il. Nicolas avait investi 3400 euros entre juin 2019 et mars 2020“.
Si les adresses postales sont saisies lors d’achat de produits comme identifiés “de luxe” on peut arriver à ce type de témoignage : J’ai commandé de nombreux produits xxx depuis 2015 et plusieurs adresses postales liées à mon nom se retrouvent désormais sur Internet. J’ai déménagé plusieurs fois, mais celle où vivent actuellement mes parents y apparaît”, indique-t-elle. Elle craint ainsi d’attirer des extorqueurs de fonds. “On se retrouve avec une cible sur la porte de proches qui n’ont rien demandé”, s’étrangle-t-elle. “La seule solution préventive est donc de faire déménager mes parents. Mais c’est dingue d’arriver à une telle extrémité simplement car xxx ne sait pas gérer une base de données client”, s’alarme-t-elle”.
3. Les bons réflexes à adopter.
La méfiance doit devenir un réflexe dans tout ce qui arrive par SMS ou Internet dès que l’argent ou la valeur est en jeu. Donc nous avons imaginé quelques conseils :
- Quand vous commandez sur internet laissez le moins de données possibles en ligne.
- Renforcez vos mots de passe
- Enregistrez les numéros de vos interlocuteurs sur votre téléphone. Cela vous aidera à ne répondre qu’à ceux qui sont identifiés directement.
- Tout mail impersonnel est suspect, surtout s’il y a de l’argent en jeu.
- Aucun mot de passe n’est demandé par téléphone ou mail !
- Pour les crypto : Votre clé privée est une clé ! C’est comme si vous donniez la clé du coffre-fort et le plan pour y accéder
- En cas de doute sur un mail commencez par faire : répondre à : vous verrez qui l’a émis. Et la vérification du mail de l’émetteur permet de déceler + de 75% des fraudes.
- Ajouter un degré de sécurité supplémentaire pour vos connexions : Authentification forte, 2FA, …
Voilà quelques éléments nécessaires à savoir. Mais pour conclure j’irai un peu plus loin. Les données de santé sont encore plus sensibles. Là aussi demandez qui conserve ces données et quel niveau de sécurité est assuré, s’il y a un effacement automatique… Donc en bref, si vous demandez votre profil ADN c’est le plus intime de votre signature personnelle que vous mettez en danger. Prudence !