Agitation autour du RGPD : même les escrocs ont une nouvelle politique de confidentialité

1 Juin 2018
Menaces

Il y a peu, vous avez sûrement été submergé par les messages envoyés par tous les services que vous avez utilisés jusqu’à présent. Ces messages vous informaient des changements dans les politiques de confidentialité, et vous invitaient à vous abonner de nouveau à leurs newsletters pour que vous puissiez continuer à les recevoir.

Non, il ne s’agit pas d’un flashmob international organisé par toutes les grandes multinationales. Ces entreprises essaient juste de se conformer au nouveau Règlement général sur la protection des données (RGPD) de l’UE entré en vigueur le 25 mai 2018.

Le RGPD s’applique à toutes les entreprises qui opèrent sur le territoire européen, et il leur exige de gérer les données des utilisateurs de manière responsable. Cela signifie notamment que les données doivent être stockées de façon sécurisée, ne pas être passées à n’importe qui sans l’accord des utilisateurs, et que, le cas échéant, les entreprises doivent communiquer les fuites dans les meilleurs délais.

De plus, les entreprises n’ont pas le droit d’envoyer des messages aux utilisateurs sans leur consentement. C’est pourquoi votre boîte e-mail est pleine de demandes de renouvellement d’abonnement. Les services ont hâte de continuer à vous envoyer des choses, mais ils ne peuvent pas le faire sans votre accord, qu’ils essaient désespérément d’obtenir.

La fraude autour du RGPD

Les cybercriminels ont senti qu’il s’agissait de l’occasion parfaite pour obtenir certaines données utilisateur. Après tout, des millions de personnes dans le monde cliquent aveuglement sur  » Oui, je suis d’accord  » dans d’innombrables messages, et saisissent des informations personnelles sur de nombreux sites sans la moindre hésitation.

Par exemple, nous avons trouvé par hasard un mailing apparemment au nom d’Apple, qui informe de manière menaçante les destinataires que leur identifiant Apple est bloqué, et qu’il sera effacé sous trois jours, sauf s’ils remplissent un formulaire pour confirmer les renseignements de leur compte.

Selon ce message, Apple est incapable de vérifier vos détails de facturation, ce qui va soi-disant à l’encontre de la politique de sécurité de l’entreprise. L’avertissement continue en disant que votre compte sera bloqué et supprimé sous trois jours si vous ne cliquez pas sur le lien suivant et saisissez vos données.

Il est évident que ce message n’a rien à voir avec Apple. Il s’agit tout simplement d’une technique d’hameçonnage.

Les auteurs du mailing ont utilisé une des plus vieilles supercheries d’ingénierie sociale au monde : l’intimidation. La peur d’abandonner une telle entreprise qui dispose d’un compte si précieux, fait que l’utilisateur qui ne s’y connaît pas beaucoup panique, réagit précipitamment, et saisit les données là où il ne devrait pas. Ces arnaques sont aussi efficaces que nombreuses, en d’autres termes, très courantes.

Exemple d’un e-mail d’hameçonnage relatif au RGPD et envoyé au nom d’Apple

 

Comment repérer l’hameçonnage

Si vous gardez la tête froide, il est assez facile de voir que vous êtes victime d’une tentative d’hameçonnage.  Analysons de plus près ce message relatif à l’identifiant d’Apple.

Dans la plupart des cas, vous pouvez savoir qu’il s’agit d’une fraude sans même ouvrir le message. Par exemple, regardez l’adresse de l’expéditeur dans le champ « De«  et le sujet dans le champ « Objet«  (voir capture d’écran). Il y a évidemment quelque chose de louche lorsqu’une adresse e-mail contient des mots génériques et une série de nombres, surtout quand vous savez que tous les messages légitimes au sujet de l’identifiant de votre compte Apple sont envoyés depuis l’adresse appleid@id.apple.com.

L’objet du message contient aussi d’étranges numéros qui n’ont aucun sens. Les escrocs les utilisent pour créer des informations indésirables, et faire en sorte que le message semble unique. Faites aussi attention à la présence du mot « RE« , qui signifie que le message reçu est la réponse à un message que vous avez envoyé. Cet élément éveille beaucoup de soupçons, surtout si vous n’avez jamais écrit à cette entreprise ; encore une fois, ils le font pour contourner les filtres anti-spam.

Si l’objet du message et l’adresse de l’expéditeur ne sont pas suffisants, une analyse du message devrait dissiper tous vos doutes. Toute entreprise qui se respecte, et qui possède vos données personnelles, ne va jamais s’adresser à vous en utilisant votre adresse e-mail au lieu de votre nom et prénom.

Une autre technique vous permettant de reconnaître un e-mail frauduleux est l’adresse du lien que l’on vous demande de suivre. Si vous passez le curseur de la souris sur le texte du lien, l’adresse vers laquelle vous serez redirigé va apparaître à côté, ou en bas à gauche dans la fenêtre de navigation. L’adresse ne devrait pas contenir de noms de domaine étranges, ni de liens courts comme bit.ly ou autres.

Comment protéger vos données

  • Ne saisissez jamais vos données personnelles sur des sites suspects. Toutes les actions qui impliquent des données personnelles devraient être réalisées sur les sites officiels des entreprises.
  • Avant de cliquer sur le lien qui figure dans un message, et d’accepter de fournir vos informations personnelles, assurez-vous que le message est authentique. Vérifiez l’adresse de l’expéditeur, l’objet du message et le texte de tous les messages qui semblent importuns. Si quelque chose semble bizarre, ne cliquez sur rien. Contactez l’équipe du service technique au nom duquel le message a été envoyé. Ces professionnels pourront vous aider à clarifier la situation.
  • Utilisez une solution de sécurité fiable, comme Kaspersky Internet Security, qui dispose de fonctionnalités anti-spam et anti-hameçonnage. Cette solution va filtrer et éliminer les messages douteux, et vous avertir s’il y a des liens suspects.