17.10.2023 - L’automne est la saison des salons. Afin de permettre aux visiteurs de planifier au mieux leur visite dans les salons, de nombreux organisateurs mettent à disposition en ligne des informations sur les exposants et sur les produits qu’ils proposent. Bien que pratiques pour les visiteurs, ces informations peuvent aussi être utilisées à mauvais escient par les cybercriminels, comme le montre un exemple qui a été signalé au NCSC.
Semaine 41: utilisation à mauvais escient d’informations en lien avec des salons par les cybercriminels
Le NCSC reçoit régulièrement des messages d’entreprises suisses qui ont été contactées par des entreprises prétendument étrangères affirmant avoir participé à un salon. L’expéditeur du message affirme avoir visité le stand de l’entreprise et y avoir obtenu ses coordonnées. C’est ce qui s’est passé dans un cas récent qui a été signalé au NCSC. L’escroc s’est fait passer pour une société basée en Écosse. Il a prétendu avoir visité le salon en avril 2023 et a indiqué vouloir discuter de quelque chose avec la personne visée.
Prétextant vouloir aborder une affaire importante devant rester confidentielle, l’escroc a demandé à la personne visée de lui fournir son adresse de messagerie électronique personnelle. En réalité, il n’a jamais visité le salon. Dans ce cas, le destinataire du courriel était sceptique et n’a pas répondu à la demande du cybercriminel. S’il avait répondu, le cybercriminel lui aurait probablement fait miroiter une affaire lucrative pour laquelle il lui aurait demandé de verser une avance.
Comme dans l’arnaque au président, les cybercriminels utilisent des données provenant de sources publiques. Mais, alors que dans l’arnaque au président, ils utilisent des données que l’on trouve sur les sites Internet des entreprises, de préférence sur les pages où figurent les fonctions et les coordonnées des collaborateurs, dans ce type de fraude, ce sont les listes d’exposants des salons professionnels qui sont utilisées.
Pour s’orienter dans le salon, les visiteurs peuvent consulter en ligne la liste des exposants. Sur cette liste figurent aussi d’autres informations, telles qu’une brève description des entreprises et leurs coordonnées. Ainsi, les données pratiques destinées aux visiteurs se transforment en mine d’or pour les escrocs qui les exploitent, afin de mener à bien des attaques ciblées.
En faisant référence au salon, les cybercriminels s’efforcent de gagner la confiance de leur cible et suggèrent qu’une interaction a eu lieu au stand. En effet, une telle prise de contact avec la personne inspire davantage confiance qu’une requête anonyme par courriel. Dans la majorité des cas, les cyberattaques de ce genre concernent une affaire pour la conclusion de laquelle de l’argent doit être transféré.
Recommandations:
- Sensibilisez vos collaborateurs! En particulier ceux qui travaillent au service financier ou qui occupent des postes clés doivent impérativement être informés au sujet de ces attaques potentielles.
- Ne donnez jamais suite à une demande de paiement inhabituelle.
- Tous les processus relatifs aux opérations de paiement doivent être clairement réglementés au sein de l’entreprise ou de l’administration et respectés par les collaborateurs et collaboratrices dans tous les cas (par ex. le principe du double contrôle ou la signature collective à deux).
- Si une demande de paiement vous paraît étrange, vérifiez par téléphone au sein de votre entreprise, de votre administration ou auprès du président de l’association si le paiement doit bel et bien être effectué.
- Si vous avez versé de l’argent, prenez immédiatement contact avec la banque par l’intermédiaire de laquelle vous avez effectué le paiement. Cette dernière a peut-être encore la possibilité de le bloquer. En outre, nous vous recommandons de vous adresser à la police cantonale compétente pour le lieu où votre entreprise a son siège et d’y déposer plainte.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 17.10.2023