Cette publication a été rédigée par Traian Toma, candidat à la maîtrise et récipiendaire d'une bourse de la Chaire.
L’Organisation mondiale de la santé (OMS) a récemment lancé un avertissement aux internautes sur l’émergence de nouvelles tentatives d’hameçonnage qui tirent avantage des anxiétés causées par la pandémie de COVID-19 [1]. Dans ces courriels, les fraudeurs, se faisant passer pour des médecins, suscitent des sentiments d’urgence chez les victimes inquiètes, et ce dans le but d’inciter ces dernières à divulguer des informations confidentielles, à cliquer sur des liens douteux ou encore, à ouvrir une pièce jointe malicieuse.
L’exploitation de la médiatisation du virus dans les tentatives d’hameçonnage met en lumière deux techniques de persuasion privilégiées par les fraudeurs pour manipuler les individus : l’autorité et l’urgence. En effet, les gens sont plus susceptibles de répondre aux demandes faites par une personne en position de pouvoir ou d'autorité. Une étude empirique ayant analysé près de 200 courriels malicieux indique que la totalité des cybercriminels se sont fait passer pour des personnes en position d’autorité et 71 % ont utilisé des éléments d’urgence pour mener à bien leurs attaques [2]. Une autre étude ayant fait l’analyse de neuf courriels malicieux simulés distribués auprès de 62 000 employés a conclu que les messages mettant l’accent sur des signaux d’urgence ou d’autorité sont plus efficaces que les autres à piéger les victimes [3]. De même, une autre étude auprès d’étudiants universitaires sur l’authenticité de courriels comportant des techniques persuasives différentes a montré que les courriels provenant d’une personne se présentant comme en position d’autorité représentaient la stratégie la plus efficace pour convaincre une personne de l’authenticité du courriel [4].
Qui plus est, une étude a montré qu’un individu sera davantage alarmé par un courriel faisant appel à l’urgence si le sujet du message est d’importance pour lui. Les auteurs de cette étude expliquent que s’attarder sur un signal d’urgence dans le courriel suscite chez la victime un sentiment d’alerte qui accapare ainsi toutes les ressources cognitives nécessaires pour une analyse poussée du message. Les personnes préoccupées par le COVID-19 (hypocondriaques ou autres) doivent alors rester à l’affût de ces tentatives d’hameçonnage [5].
À la lumière de ces faits, quelques recommandations peuvent être émises afin de vous protéger contre les cybercriminels qui exploitent la panique du COVID-19:
1. Vérifier l’adresse courriel de l’expéditeur
2. Ne pas donner d’informations confidentielles
3. Changer ses identifiants s’ils sont compromis
4. Signaler la tentative d’hameçonnage auprès des agences concernées tel que le Centre Antifraude du Canada.
Références
[1] WHO. (2020). Beware of criminals pretending to be WHO. Repéré à https://www.who.int/about/communications/cyber-security.
[2] Atkins, B. et Huang, W. (2013). A Study of Social Engineering in Online Frauds. Open Journal of Social Sciences, 1(3), 23‑32. [3] Williams, E. J., Hinds, J. et Joinson, A. N. (2018). Exploring susceptibility to phishing in the workplace. International Journal of Human-Computer Studies, 120, 1‑13. [4] Butavicius, M., Parsons, K., Pattinson, M. et McCormac, A. (2016). Breaching the Human Firewall: Social engineering in Phishing and Spear-Phishing Emails. Repéré à http://arxiv.org/abs/1606.00887. [5] Vishwanath, A., Herath, T., Chen, R., Wang, J. et Rao, H. R. (2011). Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model. Decision Support Systems, 51(3), 576‑586.