C’est arrivé près de chez vous
Matthieu vit dans le Nord de la France. Locataire d’un logement social, il reçoit en décembre 2018 un courriel. Son bailleur social l’alerte sur un changement de coordonnées bancaires. Cela ne l’interroge pas plus que cela. Ce n’est pas la première fois. Il n’est pas plus inquiet que cela.
La missive lui indique qu’il recevra d’autres instructions par courrier postal. Rassuré, son adresse postale, son nom et son téléphone apparaissent dans le courriel. Le message de l’intervenant de Matthieu indique que pour faciliter le traitement de ses données, une réponse électronique rendra la gestion plus rapide. Matthieu va répondre. Note les nouvelles coordonnées bancaires.
Deux mois plus tard, Matthieu ne comprend pas pourquoi il a été prélevé deux fois. Il est tombé dans une fraude au faux virement. La fameuse escroquerie au président. Cella qui touche, normalement, les entreprises. Matthieu venait de découvrir que le grand public pouvait en être victime. 700 euros en moins sur son compte déjà loin d’être excédentaire.
Ce que vous risquez
L’attaque vécue par Matthieu, un faux virement couplé par du Social Engineering. Traduisez la recherche d’informations sur une cible via les réseaux sociaux, sites web, … ou les poubelles de votre logement, bureau … En novembre 2018, lors du Hackfest de Québec, un rendez-vous dédié à la cybersécurité, un concours de Social Engineering.
Mission, récolter des informations privées, personnelles, sensibles via un « simple » appel téléphonique. En quelques heures, voici les chiffres extraits de ce concours. Les assauts visaient des banques, un important transport public, une compagnie de transport … Lors des appels téléphoniques, 75% des interlocuteurs, à la demande de leur interlocuteurs téléphoniques ont visité une URL, une adresse web, fournie par l’attaquant (moi en l’occurrence). Ce qui signifie qu’un vrai malveillant aurait pu facilement infecter la personne au bout du fil. 88% des appels ont permis de récupérer les informations détaillées sur le navigateur internet utilisés.
Des informations qui peuvent paraitre anodines, et pourtant. Connaitre le navigateur peut permettre de savoir si ce dernier est faillible à un problème de sécurité informatique ! Dernier chiffre, 63% ont divulgué des informations sur le déchiquetage sécurisé de documents. Dans les informations que j’ai pu collecter : la société en charge des poubelles ; le calendrier des éliminations des déchets ; la couleur des sacs poubelles (les verts, données des halls recevant le public ; les jaunes, les poubelles des employés ; les Rouges, les documents sensibles, broyés !
Comment se protéger
Sans tomber dans la paranoïa, qui au passage ne sert à rien, la prudence et l’éducation sur la gestion de ses données personnelles sont indispensables. Doit-on tout dire ? Tout écrire ? Il faut contrôler son interlocuteur. Bien évidemment, ne lui sautez pas dessus !
Mais a-t-il besoin de connaitre les informations qu’il réclame.
Que va-t-il en faire ?
La finalité du traitement des informations qu’il souhaite recueillir.
Testez aussi votre visibilité sur les Internet, les réseaux sociaux. Il existe de nombreux sites vous permettant de découvrir ce que connait, par exemple, le web sur vous. Un exemple, utilisez Google et tapez simplement votre identité dans le moteur de recherche et voyez ce qui va en ressortir.
Ne fournissez JAMAIS vos données bancaires, votre informations privées comme votre pièce d’identité par courriel. Et au moindre doute, contactez l’entreprise qui souhaite collecter des informations sur vous, votre entourage personnel et/ou professionnel.
