Les sites Internet trompeurs visent de plus en plus les PME
(Keystone-ATS) Les escrocs opérant via Internet ne s’en prennent plus uniquement à des grandes marques connues: de plus en plus, ils imitent les sites web de PME pour tromper leurs clients. Ils accèdent ainsi à leurs mots de passe ou données de cartes de crédit.
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) intervient quotidiennement pour retirer ce type de contenus frauduleux du web, a-t-elle annoncé mardi. Les derniers cas rapportés témoignent même d’une sophistication accrue.
Les attaques de phishing, par lesquelles des escrocs cherchent à accéder à des données sensibles, concernent différents types de petites et moyennes entreprises ayant un site web et qui enregistrent des adresses mail de clients, par exemple pour l’envoi d’une newsletter.
Faille du site visé
Dans un premier temps, les criminels attaquent le site web de l’entreprise. La plupart du temps, ils exploitent une faille sur le site. Cela leur permet d’accéder à une base de données contenant des mails de clients.
Ensuite, ils envoient des mails à ces clients en se faisant passer pour l’entreprise. Les messages font par exemple état d’un remboursement pouvant être demandé par le biais d’un lien indiqué. Derrière ce lien se cache un site web imitant à l’identique celui de l’entreprise et utilisant un nom de domaine très similaire.
Victime en confiance
Le client y est prié de fournir les détails de sa carte de crédit (numéro, validité, cryptogramme), à l’image d’une page de phishing “classique”. En usurpant le mail et en imitant le site web d’une entreprise avec laquelle la victime potentielle est en relation, les escrocs augmentent leurs chances de succès, puisque la cible aura plus de chances de se sentir en confiance.
MELANI conseille aux entreprises d’informer rapidement leurs clients lorsqu’elles remarquent le vol d’e-mails. Quant aux utilisateurs, ils sont priés d’effacer les courriels leur enjoignant de fournir des données de cartes de crédit: aucune entreprise sérieuse ne demande de telles informations par mail, rappelle MELANI.
De plus, il faut se méfier des mails évoquant des conséquences (perte financière, plainte pénale, blocage d’un compte ou d’une carte etc) si le destinataire n’agit pas. Enfin, il faut toujours contrôler l'”adresse Internet” (URL) sur laquelle on est redirigé. Pour ce faire, il suffit de positionner la souris sur le lien sans cliquer.
