Sécurité digitale: ça passe par vous aussi 14/12/2020 . Martin

image that represent Sécurité digitale: ça passe par vous aussi

Avec le lancement imminent de nos premiers produits bancaires, NewB va inévitablement faire face à des tentatives de piratage plus nombreuses. Notre équipe s’y prépare activement et toutes les mesures sont prises pour atteindre une sécurité optimale. Mais pour y parvenir, nous aurons aussi besoin de vous !

C’est quoi le “hameçonnage”?

NewB est une Banque 100% digitale. Sa présence en ligne présente de nombreux avantages mais également des inconvénients liés au medium à travers lequel nous correspondons avec vous (l’Internet) et les menaces informatiques auxquelles vous pourriez être exposé·e·s en tant que coopérateurs ou coopératrices.

Une de ces attaques s’appelle le « phishing » (hameçonnage en français). Il s’agit d’un type d’attaque essentiellement basé sur l’envoi de faux e-mails, soi-disant au nom de NewB. Il peut s’agir d’une personne appartenant prétendument à l’équipe du « Support NewB » qui vous demande avec insistance de « télécharger et d’ouvrir la pièce jointe » ou de lui envoyer les identifiants de vos comptes NewB par retour d’e-mail.

Ces e-mails, qui ne proviennent pas de NewB mais de personnes malintentionnées vous demanderont, par exemple, de cliquer sur un lien pour débloquer votre compte, ou vous alerteront d’une connexion à votre compte NewB à partir d’un ordinateur inconnu.

L’inventivité des pirates informatiques ne connaît pas de limite. Parfois, les techniques de fraude par e-mail sont très subtiles et vous pourriez être surpris·e par la quasi véracité d’un e-mail qui ressemble à un message officiel. Méfiance et circonspection sont de mise !

Comment reconnaître un e-mail de phishing ?

Les attaquants usurpent le logo et l'identité de NewB et tenteront de rendre le format de l’e-mail le plus vraisemblable possible afin de vous piéger. Examinez avant tout l’adresse émettrice et vérifiez qu’elle n’est pas suspecte : NewB vous enverra exclusivement des e-mails depuis des adresses e-mail en « @newb.coop ». Par exemple, [email protected]. Soyez circonspect si le sujet du message vous semble surprenant, ou si vous ne vous attendiez pas particulièrement à recevoir un e-mail de la part de NewB à ce moment-là.

Quant au contenu de l’e-mail, les pirates tenteront toujours de jouer sur des ressorts émotionnels tels que :

  • L’urgence : « Votre compte NewB a été désactivé. Cliquez sur ce lien endéans les 3 prochaines heures, sinon nous serons dans l’obligation de le supprimer. »

  • L’exceptionnalité : « Pour cause de COVID, nous sommes dans l’obligation de déplacer nos bureaux en dehors de Belgique. Prière de nous envoyer vos identifiants par retour d’e-mail pour que nous puissions organiser le déplacement de vos fonds en France. »

  • La menace : « Malgré nos rappels, nous n’avons pas reçu de retour de votre part et votre compte a été désactivé. Prière d’ouvrir et de remplir le formulaire ci-joint afin de demander sa réactivation. »

  • La récompense : « Vous pouvez participer au sondage quant au design de notre nouveau site web. Pour vous remercier de votre participation, nous vous offrons un bon d’achat de 10 euros ! Cliquez sur ce lien. »

  • La confidentialité : « Eu égard à vos qualités et expertise reconnues, je vous propose en toute discrétion de rejoindre notre groupe de travail NewB. Prière de suivre le lien ci-dessous pour me confirmer votre accord. »

Fait surprenant dans les tendances observées, on constate souvent que les e-mails de phishing comportent de fautes de grammaire ou d’orthographe.

Si vous identifiez un ou plusieurs éléments tels que ceux repris dans les exemples ci-dessus, il y a 99% de chances qu’il s’agisse d’un e-mail de phishing. Ne cliquez surtout pas sur les liens dans le contenu de l’e-mail, ne téléchargez pas la pièce jointe, transférez-le à l’adresse [email protected] et supprimez le message de votre boîte de réception.

La meilleure façon de déterminer si un e-mail est légitime ou frauduleux repose sur une vérification rigoureuse de l’e-mail. Le cas échéant, prenez contact avec NewB par téléphone pour vérifier que l’e-mail est légitime.

Une autre technique de déminage repose sur le fait de demander un second avis. Demandez à un·e ami·e, à un·e collègue, à un·e parent·e de vérifier si l’e-mail lui semble suspect. Si l’e-mail éveille votre méfiance à tous deux, il s’agit probablement d’un e-mail de phishing.

Que se passe-t-il lorsque je suis hameçonné·e ?

Les vecteurs d’attaque sont multiples, et la gravité des conséquences peut énormément varier.

  • Vous pouvez être amené·e à télécharger un faux document qui installera sans que vous ne vous en rendiez compte un logiciel malveillant sur votre ordinateur. Contre ce type d’attaque, un logiciel anti-virus à jour peut vous protéger, mais pas dans tous les cas.

  • Vous pouvez être redirigé vers un faux site NewB, dans lequel vous rentrerez vos identifiants sans vous rendre compte que vous êtes en train de communiquer directement avec l’attaquant, au lieu du vrai site NewB.

  • Vous pouvez être amené à faire un virement de votre compte NewB vers un autre compte bancaire (frauduleux) sans vous en rendre compte.

A ce stade-ci, l’attaque est déjà relativement avancée et nous vous recommandons de faire appel à nous via [email protected] pour voir dans quelle mesure nous pouvons vous aider.

Quelques bonnes pratiques

  • N’effectuez des paiements que via la plate-forme sécurisée de NewB. Utilisez toujours votre Digipass ou l’app NewB pour signer vos paiements (authentification dite « forte » ou multiple).

  • Un paiement ne se fait jamais par e-mail.

  • Vous suspectez un e-mail de phishing ? C’en est probablement un. Faites confiance à votre intuition, reportez-le à NewB et confirmez par téléphone. Quelques minutes de plus peuvent éviter un piratage ou une fraude à vos dépens.

  • Gardez votre logiciel anti-virus à jour. La plupart des ordinateurs Windows possède un anti-virus efficace mais prenez le temps de vérifier que les mises à jour sont faites automatiquement et régulièrement.

  • Avant de cliquer sur un lien, faites une pause de 1 seconde. Questionnez-vous sur la véracité de l’e-mail que vous avez reçu. Faites une nouvelle pause de 1 seconde et questionnez-vous à nouveau. Si vous avez encore un doute à ce stade, considérez que l’e-mail est frauduleux.