Phishing et smishing: la technologie au service du crime

En mars dernier, un article paru dans La Presse par Marie Lambert-Chan et intitulé : « Plus ça change plus c’est (presque) pareil » cerne bien le fait qu’habituellement, notamment dans les cas de fraudes, la cybercriminalité n’a rien de nouveau, mais qu’elle est simplement le résultat d’un crime traditionnel commis à l’aide d’un outil technologique. La technologie permet simplement de faciliter la commission de la fraude, mais les stratagèmes à la base demeurent sensiblement les mêmes, comme le mentionne Mme Lambert-Chan : « Les fraudeurs utilisent toujours les mêmes recettes, mais la technologie leur permet de commettre leur crime plus vite et à une plus grande échelle. »

Une des techniques en vogue, qu’utilisent les « voleurs d’identité », est l’hameçonnage, aussi appelé « phishing ». Selon le site de la Gendarmerie Royale du Canada (GRC) : « L’hameçonnage est un terme général utilisé pour décrire l’envoi, par des criminels, de courriels, de messages textes et de sites Web qui sont conçus pour avoir l’air de provenir d’entreprises, d’institutions financières et d’organismes gouvernementaux légitimes bien connus et qui visent à tromper le destinataire afin de lui soutirer des renseignements personnels, financiers ou de nature délicate. On appelle également ce crime « usurpation de marque ».

Le contenu de ces courriels à un but qui est bien précis, celui de susciter une réaction d’impulsivité. Pour créer cette réaction, l’utilisation d’une nouvelle bouleversante ou excitante va être employée. Une réponse rapide est exigée (afin de ne pas laisser le temps aux gens de trop réfléchir) et évidemment sous de fausses allégations.

La GRC offre sur son site une série d’outils visant à informer les citoyens sur les trucs utilisés par les hammeçonneurs. entre autres,

Quelques caractéristiques typiques des courriels hameçons :

• ŸLes courriels ne sont pas personnalisés.
• ŸDemande de validation ou de confirmation de renseignements sur un compte et à défaut de fournir les informations, il pourrait  y avoir des conséquences regrettables.
• Le message ou le site Web va comporter des logos et/ou des informations qui peuvent sembler, à première vue, légitimes et authentiques.

Quelques cibles d’usurpation de marque :

• ŸLes institutions financières
• ŸLes services de paiements électroniques
• ŸLes organismes gouvernementaux

L’hameçonnage n’est pas sans conséquence. Selon, le Centre Antifraude du Canada (Rapport statistique trimestriel – janvier à mars 2014), les activités de fraude par marketing de masse et de vol d’identité ont généré des pertes financières, lorsque la sollicitation était par courriel / internet et qu’il y avait eu une plainte de déposée, de près de 8 millions de dollars (7 590 277.34$). Il y aurait environ 156 millions de courriels d’hameçonnage qui sont envoyés quotidiennement. C’est l’avancement de la technologie qui permet cette aussi grande diffusion qui n’était pas possible auparavant.

Les gens qui commettent des crimes s’adaptent, eux aussi, à cette nouvelle ère technologique. D’ailleurs, il existe maintenant du « SMiShing » ou de l’hameçonnage par SMS (service d’envoi de messages courts) ainsi que de l’hameçonnage vocal, variation de l’hameçonnage traditionnel, adaptation des fraudeurs à la meilleure protection des usagers du Web. Au lieu de fournir une adresse internet, les fraudeurs fournissent un numéro de téléphone avec la téléphonie internet. Il est demandé aux victimes d’entrer leurs informations à l’aide du clavier de leur téléphone et ainsi ils vont donner aux fraudeurs la possibilité de reconnaître les frappes.

Le concept de fraude en est un qui remonte aussi loin celui de la mythologie grecque avec Apaté, qui est la personnification de la duperie, de la perfidie, de la fraude, de la tromperie et de la malhonnêteté. La fraude par internet ou la cyberfraude est simplement la même fraude, qui semble avoir toujours existé, mais qui maintenant est pratiquée avec un nouvel outil technologique qui permet l’accès, non plus à un bassin de victimes potentielles, mais bien à un océan.