Voici un exemple, de mauvais goût et plutôt opportuniste signalé par l’équipe de sécurité Sophos, d’une arnaque en ligne en cours d’utilisation qui utilise le coronavirus pour vous appâter :
L’email, qui reprend le logo de l’Organisation Mondiale de la Santé, vous met en garde de la manière suivante :
Parcourez le document ci-joint au sujet des mesures de sécurité concernant la propagation du virus corona.
Cliquez sur le bouton ci-dessous pour lancer le téléchargement.
Les symptômes les plus courants sont la fièvre, la toux, l’essoufflement et les difficultés respiratoires.
Heureusement, du moins pour ceux qui parlent couramment l’anglais, les cybercriminels ont fait de nombreuses fautes d’orthographe et de grammaire qui sont censées en principe vous alerter immédiatement sur le fait que vous avez certainement affaire à une arnaque.
Le lien sur lequel vous êtes invité à cliquer est également, et heureusement, douteux.
Premièrement, il semble s’agir d’un site de musique compromis avec un nom étrange qui n’a aucun lien évident avec une organisation de santé bien connue; deuxièmement, c’est un site HTTP, et pas un site HTTPS, ce qui est suffisamment inhabituel de nos jours pour être considéré comme suspect.
Néanmoins, la page relative à l’arnaque elle-même est incroyablement simple, elle n’a pas dû prendre plus de quelques minutes aux cybercriminels à réaliser et est visuellement efficace.
La fausse page se compose de la page d’accueil officielle actuelle de l’Organisation Mondiale de la Santé (OMS), avec un formulaire contextuel modeste qui s’affiche en haut de celle-ci.
Elle ne ressemble pas seulement à la page de l’OMS en arrière-plan, c’est la page de l’OMS, intégré dans un cadre qui apparaît lui-même au niveau du faux site :
Vous pouvez comprendre facilement pourquoi une personne qui est nerveuse à propos du coronavirus, ou qui a des amis et de la famille dans les principales zones d’infection, ou qui veut tout simplement connaitre les bons réflexes à avoir en cherchant à en savoir davantage sur la prévention de la propagation de la maladie …
… pourrait être amenée à remplir le formulaire, sous la pression (ou ne parvenant plus à réfléchir calmement à cause) du problème évoqué.
En effet, de nombreuses entreprises ont déjà envoyé des emails à leurs employés pour leur donner des conseils, ainsi lire des informations supplémentaires qui proviendraient de l’OMS semble être une initiative sensée et responsable.
Bien sûr, si vous entrez votre adresse email ou votre mot de passe et cliquez dessus, vous enverrez le formulaire web rempli directement aux cybercriminels.
Pire encore, vous allez leur soumettre via une connexion non chiffrée.
Ainsi, toute autre personne sur le même réseau que vous, par exemple dans le hall de votre hôtel ou le café au coin de la rue, pourrait potentiellement capturer le trafic réseau et avoir accès au nom d’utilisateur et au mot de passe que vous venez de saisir.
Une fois que vous avez cliqué sur le bouton [Vérifier], les cybercriminels vous redirigent simplement vers le vrai site de l’OMS, à savoir who POINT int, qui ressemble à la page précédente sur laquelle vous étiez, le formulaire contextuel en moins …
… à l’exception assez évidente que la barre d’adresse a maintenant l’air (et est) correcte, affichant le véritable nom du site web de l’OMS, montrant un cadenas et, si vous cliquez et consultez le certificat web, un certificat qui apparaît comme ayant été véritablement délivré à l’OMS.
Quoi faire ?
- Ne cédez jamais à la pression en cliquant sur un lien dans un email. Plus important encore, n’agissez pas suite à des conseils reçus mais que vous n’avez en réalité pas demandés et que vous ne vous attendiez pas à recevoir. Si vous cherchez vraiment des conseils sur le coronavirus, faites vos propres recherches et vos propres choix concernant l’endroit où aller chercher les informations.
- Ne vous laissez pas avoir par le nom de l’expéditeur. Cette arnaque prétend qu’elle provient de “l’Organisation Mondiale de la Santé“, mais l’expéditeur peut mettre n’importe quel nom dans le champ
From:. - Faites attention aux fautes d’orthographe et de grammaire. Beaucoup de cybercriminels ne font pas de fautes, mais d’autres par contre en font. Prenez le temps nécessaire pour analyser les messages et détecter les signes prouvant qu’ils sont effectivement frauduleux : se faire arnaquer est une expérience plutôt pénible, mais se rendre compte après-coup que vous auriez pu repérer la fraude en amont est sans doute bien pire.
- Vérifiez l’URL avant de la saisir ou de cliquer sur un lien. Si le site web vers lequel vous êtes envoyé ne semble pas correct, abstenez-vous. Faites vos propres recherches et vos propres choix concernant l’endroit où aller chercher les informations.
- N’entrez jamais de données qu’un site web n’est pas censé vous demander. Il n’y a aucune raison pour qu’une page web de sensibilisation à la santé vous demande votre adresse email, encore moins votre mot de passe. En cas de doute, ne donnez rien.
- Si vous réalisez que vous venez de donner votre mot de passe à des imposteurs, changez-le dès que possible. Les cybercriminels qui exploitent des sites de phishing essaient généralement les mots de passe volés immédiatement (ce processus peut souvent être lancé automatiquement), donc plus tôt vous réagirez, plus vite vous les combattrez.
- N’utilisez jamais le même mot de passe sur plusieurs sites. Une fois que les cybercriminels ont un mot de passe, ils l’essaieront généralement sur tous les sites web où vous pourriez avoir un compte, juste pour tenter leur chance, au cas où,…
- Activez l’authentification à deux facteurs (2FA) si vous le pouvez. Ces codes à six chiffres que vous recevez sur votre téléphone ou que vous générez via une application sont certes une petite contrainte en plus pour vous, mais ils sont en général un obstacle supplémentaire majeur pour les cybercriminels, car le simple fait de connaître votre mot de passe ne suffira plus.
Dernier podcast Sophos-Naked Security
Billet inspiré de Coronavirus “safety measures” email is a phishing scam, sur Sophos nakedsecurity.