Avec la généralisation du télétravail et les différentes mesures mises en place pour lutter contre la propagation du Covid-19, le phising et autres cyberattaques liées au coronavirus se sont multipliés.
Avec la confusion engendrée par la crise sanitaire, un nouveau phénomène est apparut. De nouvelles campagnes de phising se font en effet passer pour l'OMS (Organisation mondiale de la santé) et des plateformes de conférence populaires, dans le but de dérober des informations sensibles. Check Point, pionnier sur le marché de la sécurité numérique, a enregistré 192.000 cyberattaques liées au coronavirus par semaine au cours de la dernière semaine du mois d'avril et des deux premières semaines du mois de mai, soit une augmentation de 30% par rapport aux semaines précédentes. Près de 20.000 nouveaux domaines liés au coronavirus ont été enregistrés : 17% d'entre eux sont malveillants ou suspects. Cette crise a été une période d'opportunités sans précédent pour les cybercriminels et leur utilisation des emails de phishing et des faux sites web s'est vue décuplée. Au point qu'Interpol et Europol ont émis des mises en garde contre les pics d’escroqueries liées au Covid-19. À la mi-avril, Google a indiqué qu'en une semaine seulement plus de 18 millions d’emails malveillants et d’emails de phishing liés aux escroqueries en lien avec le Covid-19 ont été envoyés quotidiennement via Gmail. Cela s'ajoute aux 240 millions de messages de spam quotidiens concernant le coronavirus détectés par Google. Pourquoi les criminels comptent-ils autant sur les emails de phishing pour lancer des attaques ? La réponse est simple : parce que cela fonctionne. Le rapport d'enquête de Verizon sur les fuites de données en 2019 indique que 32% des fuites de données dans les entreprises commencent par des emails de phishing. Le phishing est également associé à 78% des incidents de cyberespionnage. Il n'est donc pas surprenant que les criminels continuent d'essayer d’inciter les utilisateurs à leur révéler des informations sensibles, en profitant de l'intérêt suscité par la pandémie et en se faisant passer pour des organisations et des sociétés bien connues telles que l'OMS, Zoom, Microsoft ou Google.
Usurpation de l'identité des applications de vidéoconférence
Avec la généralisation du télétravail pour une majorité de personnes pendant la pandémie, Check Point a constaté que bon nombre de cybercriminels utilisent de faux domaines Zoom, plateforme de réunions en ligne, pour leurs activités de phishing. Au cours des trois dernières semaines, 2.449 nouveaux domaines liés à Zoom ont en effet été enregistrés. 1,5% de ces domaines sont malveillants et 13% sont suspects. Parallèlement, depuis janvier 2020, 6.576 domaines liés à Zoom ont été enregistrés dans le monde entier. Mais il ne s'agit pas de la seule plateforme dont les cybercriminels essaient de détourner l’identité. Microsoft Teams et Google Meet ont également été utilisées pour attirer des victimes. Récemment, des utilisateurs ont été victimes d'emails de phishing dont le sujet était «Vous avez été ajouté à une équipe dans Microsoft Teams». Ces emails contenaient une URL malveillante, provoquant le téléchargement de logiciels malveillants sur les ordinateurs des victimes lorsqu’elles cliquaient sur l'icône «Ouvrir Microsoft Teams» menant à cette URL. Le lien réel menant à Microsoft Teams étant : «https://teams.microsoft.com/l/team». Il existe également de faux domaines Google Meets, tels que Googelmeets[.]com enregistré le 27 avril 2020. Bien entendu, le lien ne conduit pas les victimes à un véritable site web Google.
Les domaines liés au coronavirus sont les plus détournés
En examinant les nouveaux domaines enregistrés liés au coronavirus, Check Point constate que ces derniers constituent une représentation fidèle des différentes étapes de la pandémie dans le monde. Au début de l'épidémie, les domaines comportant des cartes (les zones géographiques ayant connu une augmentation des cas de coronavirus) étaient très courants, ainsi que les domaines liés aux symptômes du coronavirus. Vers la fin du mois de mars, l'accent a été mis sur les mesures d'aide financières associées aux plans de relance économique mis en œuvre par différents pays. Depuis que certains pays ont commencé à assouplir les restrictions et planifier le retour à une vie normale, les domaines liés à la vie après le coronavirus sont devenus plus courants, ainsi que les domaines concernant une éventuelle seconde vague du virus. Enfin, pendant toute la durée de la pandémie, les domaines liés aux kits de tests et aux vaccins sont restés très courants, avec de légères augmentations au fil du temps.
Quelques réflexes simples pour se protéger
Pour qu'une attaque de phishing soit efficace, elle doit tromper les utilisateurs. Il faut donc se méfier de tout email ou de toute communication provenant d'une marque ou d'une organisation connue demandant de cliquer sur un lien ou d'ouvrir un document joint, même si cela paraît officiel. Un email légitime ne devrait jamais demander d’effectuer ces actions. Il existe toutefois cinq règles d'or simples et efficaces pour protéger ses données. Premièrement, se méfier des noms de domaine sosies, des fautes d'orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus. Il faut aussi être vigilant face aux fichiers reçus par email d'expéditeurs inconnus, surtout lorsque ceux-ci incitent le destinataire du message à faire une certaine action qu'il ne ferait pas habituellement. Troisièmement, dans le cas du commerce en ligne, il est important de s'assurer que les achats sont effectués auprès d'une source authentique. Attention aux offres «spéciales». «Un remède exclusif contre le coronavirus pour 150 euros» n'est généralement pas une opportunité d'achat fiable ou digne de confiance. À l'heure actuelle, il n'existe pas de remède contre le coronavirus et même s'il en existait un, il ne serait certainement pas proposé par email. Enfin, varier les mots de passe entre différentes applications et différents comptes évite de se faire pirater sur plusieurs applications à la fois.