‘Phishing’ en hausse, ne soyez pas une victime

12 septembre 2016

ROCHE GLISSANTEPa. – En moyenne, il ne faut que 82 secondes aux cyber-voleurs pour attirer la première victime d’une escroquerie par e-mail, autrement connue sous le nom de “phishing”, selon un récent rapport compilé par Verizon.

Avec le début de l’année universitaire, le campus peut s’attendre à être la cible de nombreuses “expéditions de phishing”, selon le Bureau des services de technologie de l’information et de l’administration de l’Université. Leur conseil : soyez prudent.

“L’essentiel est qu’il devient de plus en plus sophistiqué”, a déclaré John Ziegler, vice-recteur associé de l’IATS. “Nous sommes passés de gens disant:” Je suis un otage au Kenya. Pouvez-vous faire quelque chose? à avoir maintenant l’impression que vous avez reçu une communication officielle de votre banque. Les voleurs font des choses très sophistiquées parce qu’ils connaissent les opérations quotidiennes de notre monde ; ils sont capables de faire passer une arnaque pour un e-mail ordinaire et authentique. “

Les escroqueries par hameçonnage sont des courriels frauduleux semblant provenir de l’école, de l’entreprise, du fournisseur de services Internet, de la société de carte de crédit, d’amis ou même de l’Internal Revenue Service d’une personne. L’hameçonnage tente d’inciter le destinataire à vérifier ses informations personnelles et à fournir des informations sur son compte financier. La conformité involontaire peut entraîner le vol d’identité, le vol d’argent et des problèmes juridiques.

Les systèmes visant à obtenir des mots de passe et des numéros de sécurité sociale sont de plus en plus élaborés, a déclaré Ziegler, en particulier ceux qui utilisent la peur pour cibler les comptes bancaires, les intérêts professionnels et les routines quotidiennes des étudiants.

“La chose cohérente à propos de tout cela, qui n’a pas changé, est qu’une entreprise réputée ne vous demandera pas votre nom de compte, votre mot de passe ou votre numéro de sécurité sociale”, a déclaré Ziegler. “Si vous ne connaissez pas la personne, ne plaisantez pas avec elle.”

Le groupe de travail anti-hameçonnage a déclaré qu’il y avait eu plus d’attaques d’hameçonnage au premier trimestre de 2016 qu’au cours de n’importe quelle période de trois mois depuis qu’il a commencé à suivre ces activités il y a 12 ans.

Le groupe a identifié 123 555 sites Web de phishing uniques en mars 2016, contre 44 575 en novembre 2015, selon son rapport sur les tendances d’activité.

Bien qu’il existe de nombreuses formes de phishing, les deux principales sont le “spear phishing”, qui cible des individus spécifiques, et le “whaling”, qui cible les cadres et autres personnes de haut niveau.

Ziegler a déclaré que les utilisateurs peuvent identifier un e-mail contrefait, ou d’ailleurs un appel téléphonique ou un courrier postal, si le message entrant demande des informations personnelles, des noms de compte et/ou un numéro ou fait des promesses trop belles pour être vraies. Un exemple typique pourrait inclure la promesse d’une offre d’emploi avec une grosse prime à la signature ou un autre programme d’enrichissement rapide.

“Les étudiants reçoivent des offres d’emploi qui promettent un chèque de 5 000 $ et s’ils envoient à la personne un chèque de 4 000 $, ils peuvent garder les 1 000 $ supplémentaires”, a déclaré Ziegler.

Certaines tentatives de phishing pourraient même sembler provenir de SRU. Par exemple, un e-mail peut provenir de “[email protected]”, demandant aux destinataires de fournir des détails sur leur compte de messagerie, y compris le nom d’utilisateur, le mot de passe et/ou la date de naissance. La motivation pour ceux qui reçoivent un tel e-mail de s’y conformer est que “si vous ne le faites pas, votre adresse e-mail sera immédiatement désactivée de notre base de données”, ce qui ne se produirait jamais selon Ziegler.

Une autre ruse courante consiste à envoyer un e-mail qui semble provenir du registraire de la SRU, indiquant à l’étudiant qu’il ou elle va être expulsé de l’école à moins que l’étudiant ne paie une certaine somme d’argent à “l’Université”.

“Beaucoup de ces efforts sont basés sur des tactiques alarmistes ou une histoire sanglante et un appel à l’aide”, a déclaré Ziegler. “Malheureusement, nous sommes une société qui tombe pour beaucoup de ces choses.”

Alors que les stratagèmes deviennent de plus en plus trompeurs, Ziegler a déclaré que les filtres anti-spam Microsoft et Forefront bloquent 96% des tentatives de phishing sur les comptes SRU, de sorte que la plupart n’atteindront jamais leurs destinations prévues.

Par habitude, Ziegler a déclaré que les étudiants, les professeurs et le personnel ne devraient pas utiliser leurs comptes de messagerie de l’Université pour des transactions commerciales non liées à la SRU, surveiller les comptes bancaires personnels ou suivre les paiements de dettes et/ou de prêts en ligne.

Les membres de la communauté universitaire doivent également se méfier de tout e-mail ou message sur les réseaux sociaux qui leur demande de saisir ou de vérifier des informations personnelles, soit via un site Web, soit en répondant au message lui-même, a déclaré Ziegler. “Ne répondez jamais et ne cliquez jamais sur les liens d’un tel message”, a-t-il déclaré.

Ziegler a ajouté que tous les utilisateurs devraient prendre l’habitude de lire les e-mails en texte brut, car les messages de phishing contiennent souvent des images cliquables qui semblent légitimes. En lisant en texte brut, les utilisateurs peuvent clairement voir les URL ou tout autre format non textuel utilisé dans les escroqueries par e-mail.

SRU cherchera à éduquer la communauté universitaire sur le phishing et d’autres questions liées à Internet via le salon de la cybersécurité 2016 de 12h30 à 15h00, le 27 octobre, dans la salle de bal du Smith Student Center. Les présentateurs fourniront des conseils de sécurité en ligne pour différents aspects de la connectivité, notamment : les courriels, les médias sociaux, les téléphones intelligents et les mots de passe.

CONTACT MÉDIAS : Gordon Ovenshine | 724.738.4854 | [email protected]