Economie

Les criminels du « Phishing » : Comment protéger mes données financières contre les attaques informatiques ?

Il y a quelques jours, le ministère des Technologies de l’information et de la communication (MITIC) a lancé une alerte concernant une campagne internationale de « phishing » qui affecte le système financier de notre pays pour ses utilisateurs. L’annonce a été faite par la Banque centrale du Paraguay (BCP), avec une série de recommandations.

Avant que cela ne soit toujours latent dans notre quotidien, vous devez savoir vous protéger de ces escroqueries, et vous êtes comme un utilisateur particulier de services numériques ou une entreprise qui propose des alternatives virtuelles à ses clients.

Nous expliquons ici en quoi consiste le « phishing », comment il est détecté et quelles sont les étapes à suivre pour éviter de tomber dans ses pièges.

Qu’est-ce que le « phishing » et comment l’identifier ?

Rolando Natalizia, directeur d’Investor Technology Casa de Bolsa et directeur de la société Edge SA, définit le « phishing » comme une intention frauduleuse d’obtenir des informations sensibles, telles que des identifiants d’accès, des numéros de compte bancaire, des cartes de crédit ou des codes PIN. Pour cet effet, les mécanismes électroniques sont activés et sont amenés à passer par une entité avec laquelle l’utilisateur est à l’aise.

Notez que l’exemple typique est un e-mail ou un message que l’utilisateur reçoit, provenant apparemment d’une institution que l’utilisateur connaît et en qui il a confiance. Dans le texte, l’utilisateur est encouragé à cliquer sur les liens inclus ; Un message fréquent que vous recevrez dans ces cas est le suivant : nous avons remarqué une activité suspecte sur votre compte et nous vous suggérons de changer votre adresse dès votre entrée. ici).

Les liens pointent vers des sites qui s’illuminent en apparence comme l’institution, afin qu’ils ne paraissent pas suspects à l’utilisateur, qui saisit ses identifiants (utilisateur et contrat).

Le site étant une façade, les identifiants n’ont aucun effet et éventuellement l’utilisateur est renvoyé vers le site officiel, mais l’utilisateur doit d’abord accéder aux identifiants qu’il recherche. Pour éviter de masquer le lien frauduleux, il est d’usage d’inclure le nom de la véritable institution dans une partie de l’URL.

« Si l’URL de l’institution est tubanco.com, vous pourriez faire quelque chose comme tubanco.24online.com qui semble légitime, mais en réalité c’est l’inverse », annonce Noël.

Quel est le danger du « phishing » ?

Lors de la recherche de ce type de piste, il existe un risque que les informations de l’utilisateur soient utilisées à différentes fins, notamment pour les vêtements et les chants.

Rolando Natatilizia énumère les types d’informations suivants que l’attaquant pourrait obtenir et dans quel but elles pourraient être utilisées :

  • Accédez aux informations d’identification et laissez l’utilisateur dehors, sans possibilité de récupérer son compte. Par exemple : pour gagner un nom « vaillant » dans les cercles sociaux, pour la réputation des followers ou pour le nom lui-même.
  • Numéros de carte de crédit/débit, avec lesquels l’attaquant peut effectuer des achats en ligne.
  • Informations pouvant être utilisées pour intercepter des communications électroniques. Par exemple : savoir quand ils vont effectuer des virements bancaires importants pour le commerce extérieur et intercepter ces communications, en demandant que les virements soient versés sur le compte des candidats.
  • Informations pouvant être utilisées pour des actions de chant ultérieures.

Si je suis une entreprise, comment puis-je protéger mes clients contre les escroqueries par « phishing » ?

L’outil le plus utile avant le « phishing » et autres pratiques frauduleuses (telles que l’ingénierie sociale, les faux sites, etc.) est l’utilisation de facteurs d’authentification multiples (MFA). Cela consiste en ce que, pendant le processus d’accès (ou de connexion), outre la saisie de l’utilisateur et du signe, vous devez saisir un code supplémentaire qui change fréquemment et qui est quelque chose que l’utilisateur et le site Web connaissent, explique Noël ci-dessous.

Contrairement à l’utilisateur – qui change rarement – ​​et au code – qui peut changer même s’il ne change pas du tout –, le code MFA (également appelé 2FA) change très fréquemment et ne peut généralement être utilisé qu’une seule fois.

« L’utilisation de la MFA est fastidieuse pour l’utilisateur mais, désormais, elle constitue la meilleure alternative à une vie numérique plus sécurisée. Les institutions doivent instruire leurs employés et leurs clients sur ces types d’opérations et sur d’autres. Dans la mesure du possible, vous devriez essayer de persuader vos utilisateurs d’utiliser MFA », recommande l’expert.

Veuillez noter que les utilisateurs doivent se protéger en activant MFA autant que possible, au moins dans leurs comptes électroniques, dans tous les comptes de commerce électronique (tels qu’Amazon, Paypal, eBay, etc.), leurs comptes bancaires et sociaux.

« Les meilleures pratiques sont l’éducation et l’utilisation des meilleures pratiques de sécurité, afin que l’expérience de l’utilisateur soit sécurisée dès la conception », explique Natalizia.

La responsabilité des établissements

L’attaque « phishing » se produit entre un tiers et l’utilisateur : l’institution dont le nom a été utilisé pour engager l’utilisateur n’intervient généralement pas. L’utilisateur révèle ses secrets à un tiers, sans qu’il soit nécessaire de compromettre les systèmes de l’institution.

« Les développeurs de systèmes et l’expérience utilisateur des entreprises doivent suivre les meilleures pratiques en général, en accordant une attention particulière aux flux d’authentification, de réinstallation et d’échange d’enregistrement, d’association et d’échange de dispositifs MFA, et d’autres points de contact critiques », affirme Rolando Natalizia. .

« D’autre part, si vous souhaitez protéger les utilisateurs d’une entreprise contre d’éventuelles attaques de phishing sur des sites tiers, il est conseillé d’utiliser des produits anti-phishing spécifiques qui analysent les messages, les canaux de discussion et autres types de communication électronique, en recherchant y deteniendo posibles amenazas», asevera.

Quelles étapes dois-je suivre pour éviter d’être victime de « phishing » ?

Bonjour, cette question à Rolando Natalizia et nous répondons que les recommandations les plus simples que vous puissiez donner sont les suivantes :

  1. Ne cliquez pas sur des liens envoyés par des inconnus.
  2. Confirmez que la personne qui envoie le lien est quelqu’un que vous connaissez.
  3. Au lieu de cliquer sur les liens, il est recommandé de copier le lien et de le joindre au navigateur pour confirmer le domaine. Par exemple, si mibanco.com est le domaine correct de MiBanco, alors mibanco.online24.com est suspect.
  4. Activer MFA
  5. Avant de poser la question, demandez à quelqu’un qui connaît peut-être.