Ce n'est un secret pour personne que la numérisation rapide de la société a profondément transformé les relations personnelles et d'affaires Des études montrent qu'en 2024, les pertes financières causées par les escroqueries en ligne ont atteint 10,1 milliards de R$, soit une augmentation de 17% par rapport à l'année précédente.
Cette transformation a cependant également élargi la surface d’attaque des cybercriminels, qui s’appuient de plus en plus sur l’ingénierie sociale pour mener des stratagèmes frauduleux sophistiqués.
Parmi les plus courantes figurent le phishing, le smishing et le vishing 'PRATIQUES qui, bien que différentes dans les méthodes utilisées, partagent le même objectif : tromper les victimes pour qu'elles volent des informations sensibles, en particulier les informations d'identification d'accès Bien que traditionnellement associées aux escroqueries contre les consommateurs, ces formes d'ingénierie sociale sont également très efficaces dans l'environnement des entreprises. Les escrocs ciblent les entreprises pour accéder aux systèmes internes, compromettre les chaînes d’approvisionnement et exécuter des fraudes financières à grande échelle.
Le phishing, le Smishing et le Vishing sont-ils les mêmes menaces ?
Pour commencer, il est important de comprendre que le terme ingénierie sociale fait référence à un ensemble de techniques utilisées par les escrocs pour manipuler émotionnellement et socialement les victimes, les amenant à agir contre leurs propres intérêts et compromettant leur sécurité.
Le phishing est le type le plus connu de ce type d'arnaque Les kits de phishing par e-mail peuvent être trouvés sur le dark web Pour ces escrocs qui ne sont pas experts en la matière, il y a ceux qui gèrent le service pour eux Il s'agit généralement d'envoyer des e-mails ou des messages qui se font passer pour des institutions de confiance telles que des banques, des détaillants ou des services en ligne.
Le but est de tromper le destinataire pour qu'il clique sur des liens malveillants qui conduisent à de faux sites Web, très similaires aux originaux, afin de capturer des mots de passe et d'autres informations sensibles, telles que des numéros de documents ou des données de carte de crédit. Selon les données Serpro, le phishing reste l'un des types de fraude les plus fréquents au Brésil, et les criminels ont amélioré leurs stratégies en utilisant l'intelligence artificielle (IA) et les deepfakes pour créer du contenu encore plus convaincant et personnalisé. Un cas récent a été l'arrestation d'un homme pour participation à un groupe criminel qui appliquait des vidéos manipulées avec deepfake, avec l'image et la voix du présentateur Marcosion.
Les escrocs commettent également des escroqueries telles que le compromis de messagerie professionnelle (BEC) et la fausse escroquerie du PDG, avec des courriels se faisant passer pour des dirigeants pour inciter les employés à transférer de l'argent ou à fournir des informations d'identification.
D'autre part, le smishing (combinant SMS et phishing) utilise des messages texte pour tromper les victimes. Avec la vulgarisation d'applications de messagerie telles que WhatsApp et Telegram, cette méthode a gagné du terrain, exploitant la tendance des gens à répondre rapidement aux messages qui semblent urgents. ou important.
Le vishing (phishing vocal) s'effectue par le biais d'appels téléphoniques, dans lesquels l'escroc se fait passer pour un représentant d'une entreprise ou d'une institution Un ton persuasif, combiné à l'utilisation de données obtenues précédemment dans des fuites, rend les victimes plus susceptibles de partager des informations confidentielles par téléphone Ce type d'escroquerie frappe de plus en plus les entreprises brésiliennes, surtout les grandes entreprises.
Les anciens comptes sont les actifs les plus précieux pour les criminels
La croissance de ces escroqueries est directement liée à la valeur que représentent les écosystèmes basés sur les comptes Un ancien compte de confiance a plus de valeur pour les criminels que le vol d'argent direct. Ceci est dû au fait que les comptes ayant un historique d'activité légitime sont moins susceptibles d'être automatiquement détectés par les systèmes traditionnels de détection de fraude.
Les escrocs utilisent le phishing et ses variantes ensemble pour accéder à ces comptes, qui peuvent avoir des années de relation et de transactions qui valident leur réputation Une fois à l'intérieur, le criminel peut étudier l'historique des achats, les modèles de comportement et, dans certains cas, même interagir avec le service client en prétendant être le titulaire légitime du compte.
Comme le souligne un rapport de Nethone, certains fraudeurs nouent même des relations avec des agents de soutien, les incitant à apporter des modifications au compte qui facilitent l'exécution du coup d'État (prise de contrôle du compte).Ce type d'attaque provoque non seulement des pertes financières directes, mais compromet également la confiance dans les plateformes et services numériques.
L'impact de l'intelligence artificielle et de l'automatisation sur la fraude
Historiquement, les campagnes d'ingénierie sociale ont nécessité de la planification, du temps et un certain degré de personnalisation manuelle. Cependant, l'adoption à grande échelle de modèles de langage génératif (LLM) a complètement modifié ce paysage.
Aujourd'hui, avec des outils automatisés basés sur l'IA générative, les criminels peuvent créer et lancer des campagnes de phishing en quelques minutes Des textes bien écrits, qui nécessitaient autrefois de la fluidité ou du temps pour être rédigés, sont maintenant générés automatiquement avec un haut degré de sophistication En conséquence, le volume et la fréquence de ces attaques ont augmenté de manière alarmante.
Cette croissance reflète non seulement la plus grande portée des campagnes frauduleuses, mais également l’efficacité des nouvelles techniques et automatisations basées sur l’IA.
Qui pense que le phishing, le smishing et le vishing sont des risques exclusifs aux consommateurs individuels se trompe Les entreprises sont également fréquemment victimes de ces escroqueries, surtout lorsque les informations d'identification des entreprises sont exposées sur le dark web Selon une analyse de Nethone, les escrocs peuvent acquérir des données divulguées sur les employés, obtenant ainsi un accès privilégié aux systèmes internes et aux bases de données sensibles.
À partir de là, ils font des mouvements subtils : ils étudient le comportement d'achat ou d'exploitation de l'entreprise, créent des interactions avec le support technique ou commercial et manipulent progressivement les processus internes pour effectuer des transactions frauduleuses sans éveiller de soupçons immédiats Cette pratique compromet non seulement la sécurité de l'organisation, mais aussi la relation de confiance avec les clients et les partenaires.
Comment pouvez-vous vous protéger de ces menaces ?
La protection contre le phishing, le smishing et le vishing implique une combinaison de technologie, de processus et de sensibilisation.
Éducation et sensibilisation: les entreprises et les utilisateurs doivent être informés pour reconnaître les signes courants de ces escroqueries, tels que les fautes d'orthographe, l'urgence excessive des messages, les demandes d'informations sensibles et les canaux de communication inhabituels.
Authentification multifactorielle (MFA) : même si les informations d'identification sont compromises, l'utilisation de plusieurs couches d'authentification rend difficile tout accès non autorisé.
Surveillance des informations d'identification : les outils qui surveillent l'exposition aux informations d'identification sur le dark web sont essentiels pour que les entreprises et les particuliers soient rapidement alertés des fuites.
Systèmes de détection de fraude basés sur l'IA : tout comme les criminels, les entreprises doivent se tourner vers l’intelligence artificielle pour détecter les comportements anormaux qui indiquent d’éventuelles intrusions ou tentatives de fraude.
À une époque où la confiance est une monnaie précieuse, la protection des informations d'identification et le maintien d'une posture vigilante sont essentiels à la préservation de l'intégrité numérique des individus et des entreprises.
