COVID-19 est devenu un problème mondial à mesure que les cas se propagent à un rythme rapide. Bien que la santé physique soit une préoccupation majeure, vous devez savoir que les attaquants malveillants utilisent également cette opportunité.
Non seulement les attaquants envoient des courriels d'hameçonnage, des messages texte et passent des appels téléphoniques prétendant être l'OMS ou le CDC, mais ces attaquants tirent parti des messages émotionnels et de la peur pour attirer les victimes.
Les individus sont victimes en réalisant les actions décrites dans les messages; comme ouvrir des pièces jointes, cliquer sur des liens et fournir des informations sensibles.
Dans un récent rapport, les chercheurs de Proofpoint ont écrit: «Dans cette dernière série de campagnes, les attaquants ont étendu les logiciels malveillants utilisés dans leurs attaques de coronavirus pour inclure non seulement Emotet et le voleur d'informations AZORult, mais aussi l'agentTesla Keylogger et le NanoCore RAT – tous de qui peuvent voler des informations personnelles, y compris des informations financières. "
Il s'agit d'une tentative hostile de tirer parti de la peur du public à l'égard des coronavirus et de les inciter à partager des informations personnelles, financières et commerciales.
Que pouvez-vous faire pour vous protéger?
Selon l'Organisation mondiale de la santé, ils ne pourront jamais:
– Vous demander de vous connecter pour afficher les informations de sécurité
– Pièces jointes aux e-mails que vous n'avez pas demandées
– Vous demander de visiter un lien en dehors de www.who.int
– Vous facturer de l'argent pour postuler à un emploi, vous inscrire à une conférence ou réserver un hôtel
– Mener des loteries ou offrir des prix, des subventions, des certificats ou du financement par e-mail
– Vous demander de faire un don directement aux plans d'intervention d'urgence ou aux appels de financement.
Voici une liste des directives de l'OMS pour prévenir le phishing:
1. Vérifiez l'expéditeur en vérifiant son adresse e-mail
Assurez-vous que l'expéditeur possède une adresse e-mail telle que «person@who.int». S'il y a autre chose que «who.int» après le symbole «@», cet expéditeur n'est pas de l'OMS. L'OMS n'envoie pas de courrier électronique à partir d'adresses se terminant par «@ who.com», «@ who.org» ou «@ who-safety.org» par exemple.
2. Vérifiez le lien avant de cliquer
Assurez-vous que le lien commence par ‘https://www.who.int’. Mieux encore, accédez directement au site Web de l'OMS en tapant «https://www.who.int» dans votre navigateur.
3. Soyez prudent lorsque vous fournissez des informations personnelles
Considérez toujours pourquoi quelqu'un veut vos informations et si elles sont appropriées. Il n'y a aucune raison pour que quelqu'un ait besoin de votre nom d'utilisateur et de votre mot de passe pour accéder aux informations publiques.
4. Ne vous précipitez pas et ne vous sentez pas sous pression
Les cybercriminels utilisent des urgences telles que COVID-19 pour inciter les gens à prendre des décisions rapidement. Prenez toujours le temps de réfléchir à une demande de vos informations personnelles et de savoir si la demande est appropriée.
5. Si vous avez donné des informations sensibles, ne paniquez pas
Si vous pensez avoir fourni des données telles que votre nom d'utilisateur ou vos mots de passe à des cybercriminels, modifiez immédiatement vos informations d'identification sur chaque site où vous les avez utilisées.
6. Si vous voyez une arnaque, signalez-la. Si vous voyez une arnaque, parlez-nous-en. Signaler une arnaque
7. Vous pouvez également vous rendre directement à la source pour obtenir des informations sur le coronavirus:
– CDC
– QUI
Smishing (attaques de phishing via SMS) ou Vishing (via téléphone ou VoIP) sont d'autres saveurs des techniques d'ingénierie sociale où les attaquants visent à obtenir des réponses émotionnelles, forçant les individus à cliquer sans réfléchir.
Lorsque vous recevez des e-mails, SMS et / ou appels téléphoniques inattendus, utilisez S-T-O-P:
1. Arrêtez
2. Respirez profondément
3. Possibilité de penser
4. Mettez l'e-mail en perspective et signalez l'hameçonnage, le SMISH ou le Vish. Faites rapport à votre équipe informatique.
Rappelez aux utilisateurs de ne jamais ouvrir de pièces jointes provenant d'expéditeurs qu'ils ne connaissent pas. Informez les utilisateurs de toutes les formes que peuvent prendre ces tentatives de phishing, de smishing ou de vishing.
Niamh Vianney Muldoon est directeur principal de Trust and Security EMEA chez OneLogin
