Les escroqueries par usurpation d’identité sont omniprésentes : les acteurs malveillants tentent constamment de vous convaincre qu’ils représentent des organisations comme LinkedIn, PayPal, votre banque, le FBI, la FTC et l’IRS alors qu’ils cherchent à voler votre argent et vos informations. En ce qui concerne les stratagèmes de phishing, qui tentent généralement de vous inciter à transmettre des données sensibles ou des identifiants de compte via des liens malveillants, les marques technologiques sont (sans surprise) parmi les plus couramment usurpées.
Un rapport récent de Check Point Research a révélé que Microsoft avait été imité dans près d’un quart de toutes les tentatives de phishing de marque au quatrième trimestre de l’année dernière, soit près du double de la deuxième entreprise la plus usurpée.
Les marques les plus populaires pour les escroqueries par phishing
Selon les chercheurs, les entreprises technologiques et les réseaux sociaux figurent systématiquement parmi les marques les plus populaires auprès des usurpateurs d’escroqueries par phishing, avec la part suivante au dernier trimestre de l’année dernière :
-
Microsoft : 22%
-
Google: 13%
-
Amazone: 9%
-
Pomme: 8%
-
Facebook (méta) : 3%
-
Paypal : 2%
-
Adobe: 2%
-
Réservation: 2%
-
DHL : 1%
-
LinkedIn : 1%
Même si vous devez toujours vous méfier des tactiques de phishing courantes, il est sage de vous méfier particulièrement des communications non sollicitées émanant de l’une des sociétés répertoriées, surtout si cette communication est liée à la sécurité du compte et/ou vous invite à cliquer sur un lien. Nous avons couvert ici au moins une campagne impliquant presque toutes les marques, qui sont toutes connues et largement fiables parmi les utilisateurs, ce qui en fait des cibles privilégiées pour ce type d’escroqueries. Check Point note que les identifiants Microsoft et Google volés sont particulièrement précieux car ils sont largement utilisés dans les flux de travail quotidiens.
Tactiques de phishing courantes
D’une manière générale, une escroquerie par phishing commence par un e-mail, un SMS ou un message sur les réseaux sociaux qui semble provenir d’une source légitime. Il vous demande probablement de mettre à jour ou de vérifier des informations personnelles, souvent liées à un paiement ou à la sécurité d’un compte, avec un lien vers ce qui semble être le site Web ou la page de connexion de l’entreprise. Bien entendu, ce lien mène à une version usurpée de ce site conçue pour récupérer vos informations d’identification, votre numéro de carte de crédit, vos coordonnées bancaires ou d’autres données personnelles, que les fraudeurs peuvent ensuite utiliser pour usurper d’identité, piratage de compte ou fraude à l’achat.
Notez que même si les méthodes ci-dessus sont parmi les plus courantes, le phishing peut également se produire via des appels téléphoniques, des messages vocaux et des fenêtres contextuelles malveillantes du navigateur.
Comment se protéger contre les attaques de phishing de marque
Comme nous l’avons mentionné, juste parce que vous en général Faire confiance à une entreprise ne signifie pas que vous devez faire aveuglément confiance à toutes ses communications. Si vous recevez un message spontané, qui semble urgent et qui n’est pas lié à une action récente de votre part (telle qu’une tentative de connexion ou un paiement de facture), n’y répondez pas. Ne cliquez sur aucun lien, n’ouvrez aucune pièce jointe et ne répondez pas directement. Faites attention aux fautes de frappe et autres erreurs, y compris celles concernant l’expéditeur d’origine. Cependant, comme les escrocs ont trouvé des moyens de paraître vérifiés, ce n’est pas toujours un signal d’alarme évident.
Si vous n’êtes pas sûr du contenu du message, accédez directement au site Web ou à l’application et connectez-vous pour voir les alertes légitimes. Un gestionnaire de mots de passe offre ici une couche de sécurité supplémentaire, car il vous protégera contre la saisie d’informations d’identification sur une page usurpée.
Enfin, activez une forme d’authentification multifacteur solide et résistante au phishing partout où vous le pouvez, et en particulier pour les comptes très utilisés et de grande valeur comme Microsoft et Google. Si vos informations d’identification sont compromises, les acteurs malveillants ne disposeront pas de ce facteur supplémentaire pour les utiliser.
