Les pirates sont toujours à la recherche de nouvelles façons de voler des informations confidentielles. Parfois, ils veulent voler des informations spécifiques. Mais même les informations personnelles de personnes aléatoires sont potentiellement précieuses pour la revente sur le dark web.
Pour cette raison, presque toutes les entreprises ont quelque chose sur lequel les pirates aimeraient mettre la main. Que ce soit pour la revente, le harcèlement ou simplement le divertissement, toutes les entreprises sont désormais des cibles potentielles pour le vol de données.
De fausses demandes de données d'urgence sont souvent utilisées à cette fin. Alors, que sont les demandes de données d'urgence et comment les pirates les utilisent-elles ?
Que sont les demandes de données d'urgence ?
Une demande de données d'urgence est ce que le gouvernement utilise lorsqu'il souhaite récupérer des informations auprès d'une entreprise privée. Ces demandes sont des avis juridiques légitimes envoyés par les services de police de tout le pays.
La plupart des entreprises les ont reçues et sont légalement tenues d'y répondre. Bien que les lois sur la confidentialité empêchent la divulgation d'informations personnelles dans d'autres circonstances, les entreprises n'ont pas le choix lorsqu'elles reçoivent un mandat, ce qui en fait une technique attrayante pour les pirates.
Comment les pirates utilisent-ils de fausses "demandes de données d'urgence" ?
Le problème avec les demandes de données d'urgence est qu'elles ne sont pas nécessairement difficiles à falsifier. La plupart des entreprises ne sont pas non plus dotées d'experts juridiques.
Le destinataire regardera simplement d'où vient la demande. S'il semble provenir d'un service de police, celui-ci fournira souvent les informations demandées.
Pour cette raison, les pirates envoient désormais de fausses demandes de données d'urgence à toute entreprise dont ils souhaitent voler des informations.
Les adresses e-mail peuvent être usurpées, mais cette méthode est tellement efficace que de nombreux hackers vont plus loin. Ils piratent les services de police et utilisent ensuite les serveurs de la police pour envoyer des demandes de données. Ces demandes semblent légitimes parce qu'elles sont légitimes.
Le problème s'aggrave car les réseaux des services de police ne sont pas toujours aussi sécurisés que les gens le souhaiteraient. Les pirates peuvent envoyer des demandes de données depuis n'importe quel service de police, y compris les petits services aux ressources informatiques limitées.
Pourquoi les fausses demandes de données d'urgence sont-elles si efficaces ?
Les fausses demandes de données d'urgence sont très efficaces. Il est également facile de comprendre pourquoi une entreprise s'y conformerait. Il y a de graves répercussions juridiques à ignorer une demande valide. La plupart des entreprises ne sont pas non plus au courant de l'escroquerie, elles n'ont donc aucune raison de soupçonner qu'elles parlent à qui que ce soit d'autre qu'à la police.
Comme beaucoup d'arnaques, les fausses demandes de données d'urgence reposent également sur le sentiment d'urgence ressenti par la victime. Les demandes comprennent souvent une note indiquant que la personne faisant l'objet de l'enquête constitue une menace sérieuse et peut causer du tort à autrui. Cela encourage la victime à se conformer à la demande même si elle se méfie de ses origines.
Quelles sont les conséquences de ces escroqueries ?
Habituellement, les entreprises qui tombent dans le piège de ces escroqueries ne sont pas poursuivies, car elles n'ont pas divulgué volontairement d'informations confidentielles et ont plutôt obéi à ce qu'elles croyaient être une demande légale.
Cependant, les principales victimes de cette escroquerie sont les propriétaires des informations personnelles qui ont été divulguées. Selon le type de données publiées, ils peuvent être victimes d'usurpation d'identité, de harcèlement en ligne et éventuellement de piratage de compte.
La réputation d'une entreprise peut également souffrir si une attaque réussie est rendue publique. Il est peu probable que la personne dont les données ont été volées se soucie de la façon dont cela s'est produit.
Que fait le gouvernement pour empêcher les faux EDR ?
Ce type d'attaque devient si courant que le gouvernement tente de faire adopter un projet de loi qui obligerait toutes les demandes de données d'urgence à être signé numériquement. L'arnaque est possible car ces avis sont faciles à reproduire. Cela rendrait potentiellement toute demande plus facile à vérifier.
Outre le fait qu'elle n'a pas encore été mise en œuvre, le problème avec cette approche est que les entreprises devraient toujours être au courant de la nouvelle loi. Les signatures numériques ne sont pas utiles si personne ne les recherche.
Une autre solution potentielle consiste à exiger que toutes les demandes de données d'urgence soient envoyées par un seul organe directeur. En gardant tout dans un seul département, il serait beaucoup plus facile d'appliquer des normes de sécurité strictes et d'empêcher tout accès non autorisé.
Le problème avec cette approche est qu'elle entraînerait un délai important chaque fois qu'un policier voudrait envoyer une telle demande dans un but légitime. Compte tenu de l'importance de ces avis et du fait que l'urgence est souvent bien présente, cette solution n'est peut-être pas acceptable non plus.
Comment se protéger contre les fausses demandes de données d'urgence
Plutôt que de s'appuyer sur une législation qui n'a pas encore été adoptée, les entreprises devraient faire de leur mieux pour se protéger. Ils peuvent rester en sécurité en suivant ces deux mesures préventives :
Lisez attentivement toutes les demandes
Les fausses demandes de données d'urgence varient considérablement en termes de qualité. Si vous recevez un EDR, recherchez toujours les erreurs. L'adresse e-mail est l'endroit évident. Vérifiez les variations orthographiques mineures qui indiqueraient une usurpation d'e-mail.
Si vous avez déjà reçu de véritables demandes de données d'urgence, comparez-les. Recherchez une formulation étrange qui peut indiquer qu'un locuteur non natif a écrit l'e-mail. Vérifiez également les erreurs de formatage ou un logo de mauvaise qualité pouvant être le résultat de Photoshop.
Toute personne envoyant un EDR doit inclure son nom et son lieu de travail. Contactez directement leur service et assurez-vous que quelqu'un a bien fait la demande. Cela arrête l'arnaque immédiatement.
Le problème est que de nombreuses entreprises supposent automatiquement que la demande est valide et ne voient aucune raison de le faire. Il est important de noter que les attaquants sont conscients de cette possibilité et incluront leurs propres coordonnées. Par conséquent, vous devez effectuer une recherche en ligne et trouver vous-même les coordonnées.
Les entreprises devraient prendre cette menace au sérieux
De nombreuses escroqueries en ligne n'attirent pas l'attention du gouvernement. Le fait que les représentants du gouvernement discutent maintenant de faux EDR est une forte indication de leur capacité à causer du tort.
Toute entreprise en possession d'informations privées, qui sont maintenant presque toutes les entreprises, doit donc être consciente du problème et agir en conséquence lorsqu'un EDR est reçu. Cela demande de la patience et peut sembler inutile, mais c'est le seul moyen d'éviter de tomber dans cette arnaque.
Tout ce que vous devez savoir sur l'opération Aurora
Lire la suite
Rubriques connexes
- Sécurité
- La cyber-sécurité
- Sécurité des données
A propos de l'auteur
Elliot est un rédacteur technique indépendant. Il écrit principalement sur la fintech et la cybersécurité.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner
