Il n'est pas secret que la numérisation rapide de la société a profondément transformé les relations personnelles et commerciales. Des études montrent qu'en 2024, les pertes financières causées par les fraudes en ligne ont atteint 10,1 milliards de reais, soit une augmentation de 17 % par rapport à l'année précédente.
Cette transformation a cependant également élargi la surface d'attaque pour les cybercriminels, qui dépendent de plus en plus de l'ingénierie sociale pour exécuter des schémas de fraude sophistiqués.
Parmi les plus courants, il y a le phishing, le smishing et le vishing — des pratiques qui, bien que différentes dans les méthodes utilisées, partagent le même objectif : tromper les victimes pour voler des informations sensibles, en particulier des identifiants d'accès. Bien que traditionnellement associées à des escroqueries contre les consommateurs, ces formes d'ingénierie sociale sont également très efficaces en milieu d'entreprise. Les escrocs ciblent des entreprises pour accéder à des systèmes internes, compromettre des chaînes d'approvisionnement et réaliser des fraudes financières à grande échelle.
Le phishing, le smishing et le vishing sont-ils les mêmes menaces ?
Pour commencer l'explication, il est important de comprendre que le terme ingénierie sociale désigne un ensemble de techniques utilisées par des escrocs pour manipuler émotionnellement et socialement les victimes, les amenant à agir contre leurs propres intérêts et compromettant leur sécurité.
Le phishing est le type de fraude le plus connu de ce genre. Des kits de phishing par e-mail peuvent être trouvés sur le dark web. Pour ces escrocs qui ne sont pas spécialistes du sujet, il y en a qui exécutent le service pour eux. Cela implique généralement l'envoi d'e-mails ou de messages qui se font passer pour des institutions fiables, telles que des banques, des détaillants ou des services en ligne.
L'objectif est de tromper le destinataire afin qu'il clique sur des liens malveillants menant à de faux sites, très similaires aux originaux, dans le but de capturer des mots de passe et d'autres informations sensibles, telles que des numéros de documents ou des données de carte de crédit. Selon les données du Serpro, le phishing reste l'un des types de fraude les plus fréquents au Brésil, et les criminels améliorent leurs stratégies en utilisant l'intelligence artificielle (IA) et les deepfakes pour créer des contenus encore plus convaincants et personnalisés. Un cas récent a été l'arrestation d'un homme pour sa participation à un groupe criminel qui utilisait des vidéos manipulées avec deepfake, avec l'image et la voix de l'animateur Marcos Mion.
Les escrocs commettent également des fraudes telles que la compromission de l'email professionnel (BEC) et l'arnaque du faux PDG, avec des e-mails se faisant passer pour des cadres afin d'inciter les employés à transférer de l'argent ou à fournir des identifiants.
D'autre part, le smishing (combinaison de SMS et de phishing) utilise des messages texte pour tromper les victimes. Avec la popularisation des applications de messagerie telles que WhatsApp et Telegram, cette méthode a gagné en popularité, exploitant la tendance des gens à répondre rapidement aux messages qui semblent urgents ou importants.
Le vishing (phishing par téléphone) est réalisé par le biais d'appels téléphoniques, lors desquels l'escroc se fait passer pour un représentant d'une entreprise ou d'une institution. Un ton persuasif, combiné à l'utilisation de données obtenues préalablement lors de fuites, rend les victimes plus susceptibles de partager des informations confidentielles par téléphone. Ce type d'arnaque touche de plus en plus d'entreprises brésiliennes, en particulier de grandes corporations.
Les anciennes comptes sont les actifs les plus précieux pour les criminels
La croissance de ces fraudes est directement liée à la valeur que représentent les écosystèmes basés sur les comptes. Un compte ancien et fiable est plus précieux pour les criminels que le vol direct d'argent. Cela parce que les comptes avec un historique d'activités légitimes ont moins de chances d'être détectés automatiquement par les systèmes traditionnels de détection de fraude.
Les escrocs utilisent le phishing et ses variantes conjointement pour accéder à ces comptes, qui peuvent avoir des années de relation et des transactions qui valident leur réputation. Une fois à l'intérieur, le criminel peut étudier l'historique des achats, les comportements et, dans certains cas, même interagir avec le service client en se faisant passer pour le titulaire légitime du compte.
Selon le rapport de Nethone, certains fraudeurs parviennent à établir des relations avec des agents du support, en les trompant pour effectuer des modifications sur le compte qui facilitent l'exécution de la fraude — un processus connu sous le nom de prise de contrôle de compte (account takeover). Ce type d'attaque ne cause pas seulement des pertes financières directes, mais compromet également la confiance dans les plateformes et services numériques.
L'impact de l'intelligence artificielle et de l'automatisation sur la fraude
Historiquement, les campagnes d'ingénierie sociale nécessitaient de la planification, du temps et un certain degré de personnalisation manuelle. Cependant, l'adoption à grande échelle de modèles de langage génératifs (LLMs) a complètement changé ce scénario.
Aujourd'hui, avec des outils automatisés basés sur l'IA générative, les criminels peuvent créer et lancer des campagnes de phishing en quelques minutes. Textes bien écrits, qui nécessitaient auparavant de la fluidité ou du temps pour être élaborés, sont désormais générés automatiquement avec un haut degré de sophistication. En conséquence, le volume et la fréquence de ces attaques ont augmenté de manière alarmante.
Cette croissance reflète non seulement une portée accrue des campagnes frauduleuses, mais aussi l'efficacité des nouvelles techniques basées sur l'IA et l'automatisation.
Ceux qui pensent que le phishing, le smishing et le vishing sont des risques exclusifs aux consommateurs individuels se trompent. Les entreprises sont également souvent victimes de ces fraudes, surtout lorsque des identifiants d'entreprise sont exposés sur le dark web. Selon une analyse de Nethone, les escrocs peuvent acquérir des données divulguées par des employés, obtenant ainsi un accès privilégié aux systèmes internes et aux bases de données sensibles.
À partir de ce moment, ils effectuent des mouvements subtils : ils étudient le comportement d'achat ou d'exploitation de l'entreprise, créent des interactions avec le support technique ou commercial et manipulent progressivement les processus internes pour réaliser des transactions frauduleuses sans susciter de soupçons immédiats. Cette pratique compromet non seulement la sécurité de l'organisation, mais aussi la relation de confiance avec les clients et les partenaires.
Comment se protéger contre ces menaces ?
La protection contre le phishing, le smishing et le vishing implique une combinaison de technologie, de processus et de sensibilisation.
Éducation et sensibilisation :La première ligne de défense est toujours la personne. Tanto les entreprises que les utilisateurs doivent être sensibilisés à reconnaître les signes courants de ces fraudes, tels que les fautes d'orthographe, l'urgence excessive dans les messages, les demandes d'informations sensibles et les canaux de communication inhabituels.
Authentification multifactorielle (MFA) :Même si les identifiants sont compromis, l'utilisation de plusieurs couches d'authentification complique l'accès non autorisé.
Surveillance des identifiants :Les outils de surveillance de l'exposition des identifiants sur le dark web sont essentiels pour que les entreprises et les particuliers soient rapidement alertés en cas de fuite.
Systèmes de détection de fraude basés sur l'IA :Tout comme les criminels, les entreprises doivent recourir à l'intelligence artificielle pour détecter des schémas de comportement anormaux indiquant d'éventuelles intrusions ou tentatives de fraude.
En ces temps où la confiance est une monnaie précieuse, protéger les identifiants et maintenir une posture vigilante sont essentiels pour préserver l'intégrité numérique des individus et des entreprises.
