
Augmentation des attaques par usurpation d’identité, y compris les escroqueries téléphoniques sophistiquées
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une alerte en juin mettant en garde contre un nombre croissant d’escroqueries par usurpation d’identité qui prétendent provenir d’employés du gouvernement, y compris des employés de la CISA.
C’est un excellent rappel que la sensibilisation à la sécurité doit aller au-delà de la capacité à repérer les escroqueries par usurpation d’identité par e-mail et étendre cette sensibilisation aux dangers posés par les appels téléphoniques.
Et même si les escroqueries par usurpation d’identité du personnel de la CISA peuvent être particulièrement efficaces, elles ne représentent qu’une petite fraction d’un type de menace qui récolte chaque année davantage de gains illicites.
Données de la FTC : un appel à l’action stimulant
Selon les données présentées par la Federal Trade Commission (FTC) des États-Unis en avril de cette année, les pertes totales signalées dues aux escroqueries d’imposteurs d’entreprises ou du gouvernement ont augmenté régulièrement, passant de 310 millions de dollars en 2020 à 1,1 milliard de dollars en 2023. Environ une personne sur cinq s’est fait voler de l’argent à la suite de menaces d’imposteurs au cours de cette période.
Le nombre d’escroqueries par usurpation d’identité par téléphone a diminué entre 2020 et 2023, passant de 202 000 à 148 000, mais elle reste la catégorie la plus importante avec 32 %, contre 26 % pour les e-mails.
Les cinq formes d’escroquerie d’imposteurs les plus signalées sont les suivantes :
Les fausses alertes de sécurité de compte, où un message semble provenir de votre banque, d’Amazon ou d’une autre entreprise où vous avez un compte potentiellement coûteux.
De faux renouvellements d’abonnements, qui ressemblent à des notifications par e-mail de routine indiquant qu’un compte auquel vous ne vous souvenez pas vous être abonnée sera automatiquement renouvelé et que vous serez facturée très cher.
Fausses offres de cadeaux, de réductions ou d’argent à réclamer, qui peuvent usurper l’identité de marques bien connues ou d’agences gouvernementales.
Des problèmes juridiques inventés, souvent liés à une allégation selon laquelle votre identité a été volée et utilisée pour commettre un crime.
Faux problèmes de livraison de colis, dans lesquels une entreprise de livraison réputée semble vous dire qu’il y a un problème avec un colis qui vous est adressé.
L'importance de l'urgence
Leur point commun ? Ils transmettent tous un fort sentiment d’urgence. Si vous ne répondez pas immédiatement, vous perdrez votre identité, votre colis ou votre argent. Vous pouvez même être arrêté.
Malgré la sophistication croissante et l’amélioration de l’IA, il n’est pas très difficile de repérer ces escroqueries si vous faites preuve d’une certaine vigilance et si vous n’êtes pas enclin à céder à la panique ou sous l’urgence. Mais que se passe-t-il si votre carte de crédit a été utilisée de manière frauduleuse la veille ? Ou vous avez commandé quelque chose d’onéreux auprès d’un fournisseur étranger qui n’est peut-être pas très scrupuleux ? Ou vos impôts ont été vérifiés l’année dernière ?
À vrai dire, presque toute forme de distraction intense ou de sentiment d’inquiétude préexistant peut nous rendre beaucoup plus susceptibles de tomber dans le piège d’une escroquerie d’imposteurs qui nous donne un sentiment d’urgence. C’est pourquoi ils essaient tous de le faire.
Attaques d’imposteurs hybrides : maximiser l’urgence
Ma collègue Christine Barry a récemment publié un article sur le groupe ou réseau de cybercriminels Black Basta. Parmi les nouvelles tactiques désagréables qu’ils déploient, elle en décrit une qui consiste à utiliser une tempête d’hameçonnage pour accroître le sentiment d’alarme parmi le personnel, ce qui le rend beaucoup plus sensible à l’attaque téléphonique de l’imposteur qui suit.
« Depuis le mois d’avril 2024, un acteur malveillant connu sous le nom de Storm-1811 a été observé en train d’utiliser une nouvelle procédure pour accéder à des réseaux de grande valeur. Ces assauts commencent par une attaque massive par hameçonnage adressée aux salariés de l’entreprise ciblée. L’attaque inonde les boîtes de réception de messages, ce qui provoque la saturation et le stress des employés. Pendant que cette attaque par spam et par hameçonnage est en cours, Storm-1811 lance une attaque par hameçonnage vocal (vishing) dans laquelle l’interlocuteur se fait passer pour un membre du support technique. En cas de réussite, le pirate incite l’employé à fournir un accès à distance au système par le biais de l’outil Quick Assist de Microsoft. »
La bonne réponse, comme dans presque tous les types d’attaques par usurpation d’identité présumée, est de vérifier l’authenticité, dans ce cas en disant « Quel est votre nom encore ? Je vous rappellerai tout de suite », en les recherchant dans l’annuaire de l’entreprise.
Mais au milieu d’une attaque de spam apparemment écrasante, combien d’entre nous ne tomberaient pas dans le piège d’un appel urgent d’une personne qui dit être du service informatique ?
Former, entraîner, récompenser
Une solution de sécurisation des e-mails capable de détecter et de filtrer autant que possible les attaques par usurpation d’identité est très importante pour réduire votre risque d’attaque par usurpation d’identité.
Mais alors que les pirates ne cessent de trouver de nouvelles façons de créer un sentiment d’urgence, la meilleure façon de contrer cela est d’améliorer la capacité de vos utilisateurs à garder la tête froide et à répondre avec prudence et sagesse à toute communication potentiellement trompeuse. Cela nécessite une formation régulière et bien conçue de sensibilisation à la sécurité. Une solution de formation automatisée moderne doit inclure :
Modèles de simulation basés sur la réalité et constamment mis à jour pour plusieurs types de phishing, y compris le phishing vocal ou « vishing »
Des supports de formation conçus par des experts qui permettent de concentrer facilement la formation sur les utilisateurs les plus vulnérables
Des outils ludiques pour faciliter l’engagement et de l’efficacité
Modèles de simulation et de campagne personnalisables pour vous assurer que vous pouvez adapter la formation aux besoins spécifiques de votre entreprise
Barracuda Email Protection est une plateforme de sécurité avancée qui offre les deux. Il peut détecter et bloquer un grand pourcentage d’attaques par usurpation d’identité grâce à sa puissante capacité de protection contre le phishing et l’usurpation d’identité basée sur l’IA.
Et cela inclut également une formation de sensibilisation à la sécurité, qui comprend toutes les fonctionnalités énumérées ci-dessus, et plus encore.
Alors que les solutions de sécurité techniques rendent plus difficile l’intrusion de malware par les pirates, l’augmentation continue du phishing, du vishing et d’autres attaques d’usurpation d’identité trompeuses est appelée à se poursuivre. Pour minimiser les risques pour votre organisation, il est essentiel de mettre en place les meilleures défenses possibles, qu’il s’agisse de solutions techniques ou d’une base d’utilisateurs sensibilisés et responsabilisés.
Découvrez ce que propose Barracuda. (Et faites attention la prochaine fois que vous décrocherez le téléphone.)

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter