Imaginez que vous démarriez votre ordinateur professionnel un matin et que vous trouviez un courriel de Swisscom dans votre boîte de réception. Le message indique que votre abonnement téléphonique actuel va bientôt expirer et qu’il doit être renouvelé d’urgence. Comme il est nécessaire que votre cabinet médical puisse rester joignable en tout temps, vous souhaitez bien entendu prolonger cet abonnement téléphonique. Pour ce faire, le courriel que vous avez reçu vous indique un numéro de téléphone du service clientèle. En réalité, il pourrait s’agir d’hameçonnage par rappel (callback phishing).

Le callback phishing consiste en une forme hybride d’hameçonnage, composée d’un courrier électronique et d’un appel téléphonique. Le courriel contient généralement une fausse facture ou un message concernant un abonnement supposé. Les cybercriminels peuvent par exemple se faire passer pour le personnel d’une banque, d’un opérateur de télécommunications, de la poste ou de prestataires de services informatiques connus. Le texte du courriel fait comprendre qu’une action s’avère urgemment nécessaire, afin de résoudre le problème le plus rapidement possible. Par exemple, il peut être question d’une menace pour la sécurité du destinataire ou de l’entreprise. Les cybercriminels créent ainsi une pression pour agir. Ils prétendent souvent que les responsables de votre cabinet médical sont au courant de la situation et ont déjà consenti à la démarche évoquée.

La résolution de ce problème ne semble tenir qu’à un simple appel téléphonique, le numéro vous étant indiqué dans le courriel. En fait, cet appel ne vous met pas en communication avec un véritable service clientèle, mais avec un cybercriminel. Afin de régler la soi-disant situation indésirable, par exemple en prolongeant l’abonnement, on vous incite alors à consulter un site Web pour y effectuer un téléchargement ou à divulguer certaines informations sensibles. C’est ici que cet appel téléphonique aura fait de vous une victime d’hameçonnage. Au lieu d’une solution au prétendu problème, ce téléchargement installe un logiciel malveillant qui fournit aux cybercriminels l’accès à votre système informatique[1]. Les cybercriminels peuvent alors établir des connexions à distance afin d’accéder de manière ciblée à l’ordinateur. Ils peuvent également installer des chevaux de Troie (troyens, portes dérobées), grâce auxquels ils espionnent les données relatives aux cartes de crédit ou aux comptes bancaires. L’installation de logiciels malveillants tels qu’un rançongiciel (ransomware) leur permet par ailleurs de crypter les données contenues dans votre ordinateur de travail. En outre, ils peuvent prendre le contrôle de votre messagerie électronique après en avoir récupéré les identifiants.

Comme les attaques sont ciblées et que les courriels ne contiennent pas de pièces jointes malveillantes, les filtres de messagerie électronique ne repèrent pas les campagnes d’hameçonnage par rappel[2].

Étroitement liée au callback phishing, une autre forme d’hameçonnage consiste à faire télécharger un logiciel malveillant (maliciel) après un appel téléphonique. Ici, l’envoi d’un courriel fait suite à un appel téléphonique qui sert à l’annoncer. Dans la variante la plus courante, un soi-disant prestataire de services de messagerie contacte les victimes potentielles par téléphone. Au cours de cet entretien, destiné à susciter la confiance, on vous indique que des documents d’expédition à signer vont vous être envoyés par courrier électronique. Généralement, un fichier PDF joint à ce courriel comporte un hyperlien censé vous faire accéder aux documents annoncés. Or, ce lien ne contient pas les documents attendus, mais un logiciel malveillant qui, dans la plupart des cas, servira à espionner les données de l’e‑banking ou des cartes de crédit[3].

Mesures recommandées :

• À titre préventif, vous pouvez bloquer, dans votre messagerie électronique, toutes les pièces jointes qui contiennent des macros (p. ex. les fichiers Word, Excel ou PowerPoint).
• Ne vous fiez pas aux filtres de la messagerie, même s’ils sont bien réglés.
• À des fins de sensibilisation, familiarisez-vous avec le déroulement typique de l’hameçonnage par rappel.
• Faites preuve d’une saine méfiance à l’égard des courriels et appels téléphoniques inattendus que vous recevez.
• N’agissez pas dans l’urgence ; les prestataires de services sérieux ne cherchent pas à vous mettre sous pression afin de vous inciter à agir sans réfléchir.
• Si vous ne connaissez pas l’expéditeur d’un courriel, supprimez le message et informez votre responsable IT ou votre prestataire de services informatiques.
• Si une personne inconnue vous demande par téléphone de lui fournir des données confidentielles ou de consulter un site Web, il est recommandé d’interrompre la conversation.
• En cas de doute, procédez à des clarifications. N’utilisez pas le numéro de téléphone indiqué dans le courriel, mais composez le numéro de téléphone qui figure sur le site officiel.
• Assurez-vous qu’un courriel provient bien de l’expéditeur supposé. Les indices indiquant une arnaque sont souvent les fautes d’orthographe dans le nom l’expéditeur ou dans le texte du message, les salutations formulées de manière générale ou l’absence de mentions légales. Assurez-vous de l’orthographe correcte de votre nom et de la conformité de l’adresse électronique de l’expéditeur avec son nom.
• Ne fournissez jamais d’informations confidentielles telles qu’un mot de passe ou les données d’une carte de crédit sur un site Web auquel vous avez accédé par un lien dans un courriel.
• Si vous recevez un courriel après un appel téléphonique, ne cliquez pas sur un lien figurant dans une pièce jointe sous format PDF.
• Signalez les liens d’hameçonnage directement à l’adresse [email protected] ou sur le site www.antiphishing.ch. En cas de suspicion d’hameçonnage, vous pouvez toujours transmettre le courriel concerné pour analyse par le Centre national pour la cybersécurité (NCSC) via son formulaire en ligne.
• Si vous avez déjà cliqué sur un lien, contactez votre responsable IT ou votre prestataire de services informatiques. Renoncez alors à utiliser l’ordinateur jusqu’à ce que vous ayez la certitude qu’aucun logiciel malveillant n’y est installé.
• Si vous avez déjà divulgué les données d’une carte de crédit, informez immédiatement la société de carte de crédit et faites bloquer cette carte.
• Si vous avez déjà divulgué des données d’accès, modifiez le mot de passe du compte internet concerné et de tous les services qui y sont liés.
• En cas de suspicion de piratage de votre compte, vous trouverez de plus amples informations sur le site Internet de la Confédération, à l’adresse suivante : https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-private/aktuelle-themen/konto-gehackt.html.
• Annoncez les cyberincidents en utilisant le formulaire en ligne du NCSC.

Entre le début de l’année 2021 et le deuxième trimestre 2022, le nombre de cas d’hameçonnage par rappel (callback phishing) a augmenté de 625 %. Parmi les 3171 attaques d’hameçonnage signalées cette année au NCSC, 792 se basaient sur cette méthode.[4]

[1]https://www.cybertalk.org/2022/08/18/10-key-facts-about-callback-phishing-attacks/

https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-see-massive-625-percent-growth-since-q1-2021/

[2]https://www.cybertalk.org/2022/08/18/10-key-facts-about-callback-phishing-attacks/

https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html

[3] https://www.ncsc.admin.ch/ncsc/fr/home/cyberbedrohungen/anrufe-schadsoftware.html

https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_37.html

[4] https://www.scmagazine.com/brief/email-security/callback-phishing-attacks-spike

https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html

Lorsque vous avez installé par mégarde un logiciel malveillant (maliciel, malware), vos données peuvent se trouver cryptées au moyen d’un rançongiciel (ransomware). Généralement, les cybercriminels exigent alors le paiement d’une rançon, vous promettant la récupération des données cryptées ou leur non-publication sur le Darknet. Il convient alors de prendre en considération certains arguments favorables ou défavorables au paiement de la rançon.

Au premier abord, le paiement d’une rançon semble la variante la plus rapide pour récupérer les données cryptées [1]. Il se peut également que le montant de la rançon reste inférieur aux frais de récupération et aux pertes en termes de chiffre d’affaires [2]. Étant donné que les paiements s’effectuent souvent dans une crypto­monnaie (p. ex. bitcoin), le chantage peut être tenu « secret » [1]. Le paiement de la rançon permet de réduire de manière rapide et efficace la pression exercée par les cybercriminels [3].

Quoique rapide, cette solution présente toutefois de sérieux inconvénients.

Tout d’abord, un paiement n’offre aucune garantie de récupération des données cryptées ; on ne peut guère faire valoir des droits juridiques contre les cyber­criminels [4]. Même en disposant des clés de déchiffrement, la restauration des données reste laborieuse [5]. L’effort et le temps nécessaires à leur reconstitution ne diminuent pas en cas de paiement d’une rançon [6].

De plus, l’expérience montre un endommagement durable des données dans environ la moitié des cas, même en cas de paiement de la rançon. Ainsi, leur restauration complète s’avère impossible. Et le paiement de la rançon ne protège pas non plus contre d’autres attaques [2] [7].

Enfin, chaque paiement effectué soutient le modèle commercial du rançongiciel, ce qui motive les cybercriminels à persévérer. La médiatisation du paiement d’une rançon peut également entraîner des conséquences négatives sur l’image de l’entreprise concernée. En outre, l’acquisition des cryptomonnaies souvent utilisées pour s’acquitter du paiement (p. ex. bitcoin) expose à d’autres risques [1]. En fonction de l’emplacement géographique des cybercriminels, le paiement de la rançon constitue un délit de blanchiment d’argent ou de financement du terrorisme [8]. En fin de compte, un cabinet médical qui cède à un tel chantage reconnaît ainsi le succès de la cyber­attaque [9].

La mise en regard des arguments souligne les bonnes raisons de ne pas accepter le paiement d’une rançon. En effet, il n’existe aucune garantie de récupération totale en cas de paiement. La décision de payer une rançon doit faire l’objet d’une réflexion approfondie et incombe finalement à la direction du cabinet médical.

Le Centre national pour la cybersécurité (NCSC) et l’Office fédéral allemand pour la sécurité dans la technologie de l’information (BSI) déconseillent clairement de verser une telle rançon. La FMH recommande également de ne pas donner suite à ce type de chantage, mais de s’adresser le plus rapidement possible à la police cantonale compétente.

Si, malgré tout, vous maintenez l’intention de payer une rançon, il conviendra de coordonner les démarches ultérieures avec la police cantonale [10].

Références

[1] https://www.journaldunet.com/solutions/dsi/1486944-attaques-par-rancongiciels-faut-il-payer-ou-non/

[2] https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-ransomware-increases

[3] https://www.zdnet.fr/actualites/ransomware-payer-ne-vous-empechera-pas-d-etre-a-nouveau-victime-39925439.htm

[4] https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Schadprogramme/Ransomware/ransomware_node.html

[5] https://www.sophos.com/fr-fr/press-office/press-releases/2022/04/ransomware-hit-66-percent-of-organizations-surveyed-for-sophos-annual-state-of-ransomware-2022

[6] https://www.cybereason.com/press/cybereason-ransomware-true-cost-to-business-study-reveals-organizations-pay-multiple-ransom-demands#:~:text=The%20study%20once%20again%20finds,demanded%20a%20higher%20ransom%20amount

[7] https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html

[8] https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf

[9] https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/Ransomware/Ransomware.pdf?__blob=publicationFile&v=5

[10] https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html

Le mail spoofing constitue un autre type d’hameçonnage, difficile à reconnaître au premier coup d’œil. Contrairement à l’hameçonnage classique (phishing), l’usurpation (spoofing) contient des éléments ciblés qui donnent l’impression d’une communication digne de confiance. Dans l’objectif de vous inciter à agir, cette méthode déploie beaucoup d’efforts à imiter minutieusement l’identité de vos contacts ordinaires ou le design de marques connues.

Afin d’inspirer au mieux la confiance, les courriels peuvent afficher la signature de vos supérieurs, ou être prétendument rédigés par des partenaires médicaux tels que des cabinets, des hôpitaux ou d’autres entreprises[1].

Les cybercriminels collectent des informations librement disponibles sur internet afin de cibler leurs attaques. Par ailleurs, ils peuvent utiliser des informations qui proviennent de comptes de messagerie préalablement piratés.

Qui donc se méfie de l’identité de son contact lorsqu’un courrier électronique supposé provenir d’un cabinet ou d’un hôpital comporte des informations médicales confidentielles en pièces jointes ? Ce type de communication est monnaie courante. Par ailleurs, les cybercriminels envoient aussi des courriels qui usurpent l’identité de banques, d’instituts de cartes de crédit ou d’opérateurs de télécommunications.

La dissimulation de logiciels malveillants de manière ciblée dans les pièces jointes permet d’intercepter les identifiants, les données de cartes de crédit et les données bancaires.

D’autres scénarios possibles comprennent la redirection vers un site Web falsifié qui exige la modification du mot de passe de connexion ou du code PIN de la carte de crédit, ou le renouvellement d’un abonnement en ligne[2].

Il existe également d’autres cyberdangers. En matière d’hameçonnage, soupçonneriez-vous même votre imprimante multifonction ? Début septembre, deux cas révélant les risques liés à la fonction « scan to e‑mail » de certains appareils multifonctions ont été signalés au Centre national pour la cybersécurité (NCSC). Très utile dans le quotidien professionnel, cette fonction permet de numériser des documents et de les envoyer automatiquement vers une messagerie électronique prédéfinie.

Vous pouvez cependant recevoir un courriel de votre appareil multifonction sans avoir auparavant numérisé de document.

Les cybercriminels envoient des courriels qui prétendent qu’un document numérisé a été envoyé au moyen d’une imprimante multifonction et vous invitent à le télécharger par le biais d’un hyperlien ou à l’ouvrir directement en pièce jointe. En l’ouvrant, vous déclenchez le téléchargement d’un logiciel malveillant ou le clic sur le lien vous redirige vers un site Web où l’on vous demande de saisir des données confidentielles. Il s’agit souvent de données d’accès à votre messagerie électronique. Ensuite, les attaquants peuvent par exemple lire vos messages ou définir des règles de transfert automatique qui leur assurent la transmission des nouveaux courriels que vous recevrez.

Ce type d’attaque se révèle relativement facile à réaliser. En effet, la probabilité de deviner le nom correct de l’appareil s’avère élevée tant que le nombre de fabricants d’imprimantes multifonctions reste limité.

Mesures recommandées :

• Bloquez préventivement l’exécution automatique des fichiers en pièces jointes.
• Faites toujours preuve de prudence, même si les courriels sont censés provenir d’imprimantes multifonctions internes.
• Ignorez et supprimez les courriels qui font référence à un document dont vous n’avez pas effectué la numérisation.
• Considérez avec une saine méfiance tout fichier à ouvrir ou à télécharger.
• Consultez les autres membres du personnel lorsque diverses personnes peuvent avoir numérisé des documents.
• Si quelqu’un de votre équipe a divulgué les identifiants de la messagerie électronique lors d’une cyberattaque par hameçonnage, changez immédiatement le mot de passe du compte. Vérifiez aussi les filtres et les règles de transfert ; modifiez les données d’accès des autres services en ligne liés à cette messagerie ; informez-en votre responsable IT ou votre prestataire de services informatiques[3] ; annoncez l’incident au NCSC en remplissant le formulaire en ligne.

Jusqu’au premier semestre 2022, le nombre de cas hebdomadaires d’usurpation d’identité (spoofing) se situait dans une fourchette basse (inférieur à dix). À partir de début juillet, ce nombre a grimpé en flèche, atteignant 68 cas à la semaine 36, et 104 cas à la semaine 37.

[1] https://www.kaspersky.fr/resource-center/definitions/what-is-internet-security

 https://www.avg.com/fr/signal/what-is-spoofing#topic-3

[2] https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Gefaelschte-Absenderadressen/gefaelschte-absenderadressen_node.html

[3] https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_35.html