Comme le spear fishing ou la fraude au président, cette méthode peut prendre de nombreuses formes : faux e-mails, adresses IP, sites web ou appels téléphoniques en présentant un numéro connu par les victimes.
Avec ces méthodes, le hacker est en mesure d’entrer en relation avec sa cible et d’accéder à ses systèmes ou ordinateurs dans le but de dérober des informations, d’extorquer de l’argent ou d’installer des logiciels malveillants ou d’autres logiciels dangereux.
Il est assez courant que les cyberattaquants usurpent plusieurs points de contact, tels qu’une adresse e-mail et un site web, pour établir la communication et de mener l’attaque proprement dite.
Prenons par exemple l’usurpation de l’identité d’un collègue ou d’un tiers de confiance de l’entreprise. Les cybercriminels recueillent un nombre important d’informations personnelles avant l’acte. Ils identifient des méthodes de travail, et parfois même les noms et prénoms de personnes gravitant autour de la cible pour composer un scenario convaincant. La cible partage ainsi des informations avec l’attaquant de son plein gré. Comme les informations semblent valides, les victimes sont moins susceptibles de contre-vérifier sa provenance.
La meilleure façon de contrer ces attaques est de valider l’information directement auprès de la personne mentionnée, soit en personne ou par téléphone avant de partager l’information. Si la demande est faite par téléphone, raccrocher et rappeler le contact.
Quelques éléments pour détecter l’usurpation d’identité
Il est parfois simple de détecter et de prévenir les attaques par mail ou par téléphone. Vous pouvez vous référer à la liste de questions ci-dessous pour redoubler de vigilance :
> Est-ce que la demande est sollicitée ou attendue ?
> La demande concerne-t-elle des informations confidentielles ou de informations bancaires ?
> L’entreprise utilise-t-elle un domaine différent ?
> Le site web ou le lien renvoie-t-il à une adresse HTTPS ?
> Le message contient il une pièce jointe non sollicitée ?
> Est-ce que le message est adapté à votre situation professionnelle ?
> Le message contient il des erreurs évidentes de grammaire et d’orthographe ?
En cas de doute sur une opération ou une demande, n’attendez pas, contactez votre interlocuteur par vos canaux habituels.