La cybercriminalité est une réalité au Togo et les victimes se comptent chaque jour. Dans le panorama des techniques utilisées par les cyberattaquants, l’une des plus courantes retient notre attention : l’hameçonnage ou le phishing sur messagerie.
L’hameçonnage est en effet la méthode la plus courante utilisée par les fraudeurs pour voler des données personnelles ou bancaires. Se faisant passer pour des structures tierces de confiance (banques, services publics, opérateurs), ils poussent la cible à communiquer ses mots de passe ou numéros de carte de crédit.
Les escrocs procèdent par usurpation d’identité en imitant parfaitement le logo, le ton et l’apparence visuelle d’une marque ou d’une institution bien connue de la place, envoient ensuite des messages à la cible, généralement par e-mail, mais aussi par SMS ou par le biais d’appels téléphoniques.
L’étape suivante consiste à utiliser des prétextes alarmants ou aguichants pour la pousser à agir rapidement : santé défectueuse d’un proche et envoi urgent d’argent pour le sauver, colis bloqué et requête de fonds pour le débloquer, appât de gain, cadeau présidentiel ou de société prétendument à l’occasion de son anniversaire, etc.
Utilisant de faux sites web, les escrocs envoient à la future victime des liens via les messages la dirigeant vers des copies frauduleuses de sites officiels conçues pour récolter ses informations.
Une fois le compte capturé, l’attaquant arnaque tous les contacts de la cible depuis son identité, ces derniers lui faisant confiance car le message vient d’elle (sic). « Maman, j’ai un problème, envoie-moi 50 000 FCFA sur T-Money », tel est le genre de message souvent envoyé depuis le compte d’un proche piraté. Un lien raccourci malveillant est envoyé à toute une liste de contacts ou un groupe WhatsApp et un clic suffit pour compromettre un appareil ou voler des identifiants.
Pour extorquer des informations sensibles et des données personnelles qui seront plus tard revendues ou utilisées pour cibler la victime, l’attaquant passe parfois par un faux sondage, un faux formulaire de participation à un concours…
Vol de compte, usurpation d’identité, diffusion de liens malveillants et demande d’argent, extraction d’informations sensibles, tel est le schéma classique Mais alors, comment identifier une tentative d’hameçonnage ?
Il est requis de vérifier l’expéditeur (l’adresse e-mail ou le numéro de téléphone réel de l’organisation diffère souvent subtilement du domaine officiel), d’examiner les liens (les survoler avec la souris sans cliquer pour afficher l’URL réelle et vérifier sa légitimité), être attentif aux petits détails, les messages contenant souvent des fautes d’orthographe, une syntaxe inhabituelle ou des salutations génériques…
En cas de doute, il est conseillé de ne pas cliquer sur les liens, ouvrir les pièces jointes, répondre à la demande, mais de supprimer le message, contacter directement l’organisme concerné par un canal fiable, entre autres.