Contre les arnaques et le phishing, vous avez besoin d'une véritable culture de la sécurité

(par Francesco Pagano, directeur d'Aidr et responsable des services informatiques chez Ales spa et Scuderie del Quirinale) Le phénomène des escroqueries en ligne et du vol d'identité sur Internet connaît une croissance exponentielle. Selon les données publiées par Interpol en août dernier, le boom des cyberattaques a coïncidé avec la pandémie Covid-19 et marque notamment une augmentation de l'utilisation des techniques de phishing.

Le phishing est un type d'attaque extrêmement subtil qui utilise les communications par courrier électronique (mais également sur les réseaux sociaux et les plates-formes de discussion) pour attirer les victimes vers des sites malveillants ou des sites conçus pour voler les informations de connexion aux services Web. Les cybercriminels impliquent l'utilisation de messages électroniques «emballés» pour paraître parfaitement légitimes, dans lesquels les pirates se font passer pour des entreprises, des organisations ou des institutions bancaires.

Le message, souvent réalisé de manière extrêmement convaincante, vise à amener le destinataire à cliquer sur le lien qui le redirige vers la page contrôlée par les pirates. Pour atteindre cet objectif, les escrocs utilisent des techniques d'ingénierie sociale, c'est-à-dire des stratagèmes qui exploitent l'état d'esprit de la victime potentielle. Habituellement, ces stratégies exploitent deux facteurs différents: l'enthousiasme et la peur.

Dans le premier cas, on utilise des messages qui promettent des cadeaux, des prix ou des offres spéciales dédiés au destinataire du message. Dans le second, les e-mails envisagent plutôt le risque de devoir payer des amendes ou de renvoyer à des demandes de paiement, des factures ou des délais.

Le but est le même: provoquer une réaction chez la victime qui l'amène à agir de manière impulsive et à cliquer sur le lien.

Dans certains cas, cela mène à une page Web contenant des logiciels malveillants, dans d'autres à un site qui, à première vue, semble être celui de l'entreprise ou de l'organisation usurpée par les pirates. Dans ce second cas, le but des cybercriminels est d'amener leur victime à saisir les identifiants de connexion au service (par exemple ceux du service de banque à domicile en ligne) afin de les voler.

Ce n'est pas nouveau. Ceux qui utilisent habituellement les services en ligne ont maintenant appris à reconnaître (et à éviter) ce type d'attaque. La pandémie de Covid-19, cependant, a affecté le phénomène de deux manières. D'une part, il a mis à disposition des cyber-pirates un thème, celui du coronavirus, particulièrement adapté pour susciter la peur ou l'alarme chez ceux qui reçoivent les messages. En revanche, le verrouillage des ressorts et les restrictions de mouvement de cette deuxième vague ont conduit de nombreuses personnes à utiliser pour la première fois des outils numériques ou à intensifier leur utilisation par rapport au passé.

Le résultat est que les cybercriminels peuvent désormais atteindre un public extrêmement vulnérable de victimes potentielles, qui n'ont pas la malveillance de reconnaître les messages suspects et qui ont peu d'expérience dans l'utilisation d'Internet. Les outils de protection tels que les pare-feu et les logiciels antivirus peuvent aider à endiguer le phénomène, mais ne peuvent garantir une protection absolue contre ce type d'attaque, qui n'utilise souvent pas de code malveillant mais uniquement des astuces visant à tromper les utilisateurs peu méfiants.

Au contraire, ce dont nous avons désespérément besoin, c'est d'un processus d'alphabétisation destiné à l'ensemble de la population, qui leur permette d'acquérir les compétences essentielles nécessaires pour désamorcer les attaques de pirates informatiques. Quelque chose qui se produira probablement naturellement suite à l'essor de la digitalisation que nous traversons, mais qui sans une intervention visant à créer une véritable «culture de la sécurité» risque d'être trop lent et de laisser une quantité incroyable de gravats ( numérique) en route.

Contre les arnaques et le phishing, vous avez besoin d'une véritable culture de la sécurité

| NOUVELLES ", PREUVE 3 |