Définition de l’usurpation d’identité

Qu’est-ce que l’usurpation d’identité ?

L’usurpation d’identité est un type d’escroquerie dans lequel un criminel déguise une adresse e-mail, un nom d’affichage, un numéro de téléphone, un message texte ou l’URL d’un site Web pour convaincre une cible qu’il interagit avec une source connue et fiable. L’usurpation implique souvent de modifier une seule lettre, un chiffre ou un symbole de la communication afin qu’elle semble valide d’un coup d’œil. Par exemple, vous pourriez recevoir un e-mail qui semble provenir, disons, de Netflix, en utilisant le faux nom de domaine « netffix.com ».

Comment fonctionne l’usurpation d’identité

Les fraudeurs tentent de gagner votre confiance et ils comptent sur vous pour vous faire croire que les communications usurpées sont légitimes. Souvent, il suffit d’utiliser le nom d’une grande entreprise de confiance, comme Amazon ou PayPal, pour que les cibles prennent des mesures ou révèlent des informations.

Par exemple, un faux e-mail d’Amazon peut indiquer un problème avec un achat récent, ce qui peut vous inciter à cliquer sur le lien pour en savoir plus (indice : ne cliquez pas sur le lien). À partir de ce lien, vous pouvez télécharger des logiciels malveillants ou être dirigé vers une fausse page de connexion, où vous entrez sans le savoir votre nom d’utilisateur et votre mot de passe.

L’usurpation d’identité peut vous amener à divulguer des informations personnelles et financières, à envoyer de l’argent et à télécharger des logiciels malveillants, ce qui peut entraîner des ordinateurs infectés, une fraude financière et un vol d’identité. L’usurpation d’identité peut être utilisée pour diffuser des logiciels malveillants via des liens et des pièces jointes, contourner les contrôles d’accès au réseau et restreindre l’accès par le biais d’attaques par déni de service (DoS). Au niveau de l’entreprise, l’usurpation d’identité peut entraîner des systèmes informatiques et des réseaux infectés, des violations de données et une perte de revenus.

Il existe plusieurs types d’usurpation d’identité, notamment l’usurpation d’e-mails, l’usurpation de messages texte, l’usurpation d’identité de l’appelant et l’usurpation d’URL et de GPS. Essentiellement, s’il existe une forme de communication en ligne, les fraudeurs essaient de s’y introduire, ainsi que votre identité et vos actifs.

Considérations particulières

Il existe plusieurs façons de vous protéger contre les fraudeurs potentiels :

• Activez le filtre anti-spam de votre e-mail. Cela empêchera de nombreux e-mails falsifiés d’arriver dans votre boîte de réception.
• Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes des e-mails provenant d’expéditeurs inconnus. S’il y a une chance que l’e-mail soit légitime, contactez directement l’expéditeur pour confirmer qu’il est réel.
• Si vous recevez un e-mail ou un SMS suspect vous demandant de vous connecter à votre compte pour une raison quelconque, ne cliquez pas sur le lien fourni. Au lieu de cela, ouvrez un nouvel onglet ou une nouvelle fenêtre (ou l’application dédiée sur votre téléphone) et connectez-vous directement à votre compte.
• Afficher les extensions de fichiers dans Windows. Windows n’affiche pas les extensions de fichier par défaut, mais vous pouvez modifier le paramètre. Pour ce faire, cliquez sur l’onglet « Affichage » dans l’explorateur de fichiers et cochez la case pour afficher les extensions de fichier. Bien que cela n’empêche pas les escrocs d’usurper les extensions de fichiers, vous pourrez afficher toutes les extensions falsifiées et éviter d’ouvrir des fichiers malveillants.
• Investissez dans un logiciel de cybersécurité réputé. Un bon logiciel vous alertera des menaces potentielles, arrêtera les téléchargements et empêchera les logiciels malveillants de prendre le dessus. Gardez à l’esprit que le logiciel ne fonctionne que si vous le maintenez à jour et que vous l’utilisez régulièrement.
• Si vous recevez une demande de renseignements personnels, ne les fournissez pas. Raccrochez (ou déconnectez-vous), puis recherchez le numéro de téléphone ou l’adresse e-mail du service client de l’entité vous contactant prétendument pour vos informations personnelles.

Si vous pensez avoir été usurpé, vous pouvez déposer une plainte auprès du Consumer Complaint Center de la FCC. La FCC n’agit pas sur les plaintes individuelles mais ajoutera ces informations à sa base de données. Si vous avez perdu de l’argent à cause de l’usurpation d’identité, la FCC vous recommande de contacter votre service de police local.

Types d’usurpation d’identité

Usurpation d’e-mails

L’usurpation d’email consiste à envoyer des e-mails avec de fausses adresses d’expéditeur, généralement dans le cadre d’une attaque de phishing destinée à voler vos données, demander de l’argent ou infecter votre ordinateur avec des logiciels malveillants. Cette tactique est utilisée à la fois par les annonceurs malhonnêtes et les voleurs purs et simples. L’usurpateur envoie des e-mails avec une ligne « De : » falsifiée pour faire croire aux victimes que le message provient d’un ami, de leur banque ou d’une autre source légitime. Tout e-mail vous demandant votre mot de passe, votre numéro de sécurité sociale ou toute autre information personnelle pourrait être une astuce.

Ces e-mails incluent généralement une combinaison de fonctionnalités trompeuses, notamment :

• Fausses adresses d’expéditeur qui ressemblent à quelqu’un que vous connaissez et en qui vous avez confiance
• Une adresse d’expéditeur manquante, ou au moins une adresse difficile à trouver pour l’utilisateur moyen
• Image de marque d’entreprise familière, telle que logos, couleurs, boutons d’appel à l’action, etc.
• Des fautes de frappe, une mauvaise grammaire et une syntaxe inhabituelle (par exemple, « Bonjour monsieur, veuillez vous assurer que ces données sont bonnes et bonnes »).

Usurpation de message texte

Parfois appelée smishing, l’usurpation de message texte (SMS) est similaire à l’usurpation d’e-mail. Le SMS semble provenir d’une source légitime, telle que votre banque ou un cabinet médical. Il peut vous demander d’appeler un numéro de téléphone spécifique ou de cliquer sur un lien dans le message pour vous amener à divulguer des informations personnelles.

Usurpation d’identité de l’appelant

Ici, l’usurpateur falsifie le numéro de téléphone à partir duquel il appelle dans l’espoir que vous répondiez à son appel. Sur votre identification de l’appelant, il peut sembler que l’appel provient d’une entreprise ou d’un organisme gouvernemental légitime, comme l’Internal Revenue Service. Notez que l’IRS dit qu’il n’appelle pas les contribuables pour leur dire qu’ils doivent des impôts sans leur envoyer d’abord une facture par la poste.

Usurpation de voisins

Il s’agit d’un type d’usurpation d’identité de l’appelant dans lequel l’appel semble provenir de quelqu’un que vous connaissez ou d’une personne qui habite près de chez vous. La Federal Communications Commission (FCC) a déclaré que la loi sur la vérité dans l’identification de l’appelant interdit « à quiconque de transmettre des informations d’identification de l’appelant trompeuses ou inexactes dans le but de frauder, de causer du tort ou d’obtenir à tort quelque chose de valeur ». S’ils sont pris (et c’est un gros « si »), l’usurpateur peut encourir des pénalités pouvant aller jusqu’à 10 000 $ pour chaque violation.

Usurpation d’URL ou de site Web

L’usurpation d’URL se produit lorsque des escrocs créent un site Web frauduleux pour obtenir des informations des victimes ou installer des logiciels malveillants sur leurs ordinateurs. Par exemple, les victimes peuvent être dirigées vers un site qui semble appartenir à leur banque ou société de carte de crédit et être invitées à se connecter à l’aide de leur identifiant et de leur mot de passe. Si la personne tombe dans le piège et se connecte, l’escroc pourrait utiliser les informations saisies par la victime pour se connecter au site réel et accéder à ses comptes.

Usurpation GPS

L’usurpation GPS a un objectif quelque peu différent. Il tente de tromper un récepteur GPS en lui faisant croire qu’il se trouve dans un endroit différent ou se dirige dans une direction différente en diffusant de faux signaux GPS ou d’autres moyens. À ce stade, l’usurpation d’identité GPS est plus susceptible d’être utilisée dans la guerre ou par les joueurs (par exemple, les joueurs de Pokémon GO) que de cibler des consommateurs individuels, bien que la technologie existe pour rendre n’importe qui vulnérable.

Attaques de l’homme du milieu (MitM)

Ces attaques d’usurpation impliquent trois acteurs : la victime, l’entité avec laquelle la victime essaie de communiquer et l' »homme du milieu » qui intercepte les communications. L’usurpateur tente d’écouter l’échange ou de se faire passer pour l’une des parties. L’objectif est d’intercepter les informations utiles, sensibles ou potentiellement rentables (par exemple, les identifiants de connexion et les informations de carte de crédit). Les informations volées peuvent être utilisées pour approuver des transactions financières, pour le vol d’identité, ou elles peuvent être vendues à un tiers.

Usurpation d’adresse IP

Ce type d’arnaque se produit lorsque quelqu’un veut déguiser ou cacher l’emplacement à partir duquel il envoie ou demande des données, de sorte qu’il remplace l’adresse IP source par une fausse. L’adresse IP usurpée semble provenir d’une source de confiance (l’adresse IP d’origine) tout en masquant sa véritable identité, un tiers inconnu.

Usurpation faciale

C’est la dernière forme d’usurpation d’identité. Avec l’usurpation faciale, un criminel utilise le visage d’une personne et simule sa biométrie faciale en utilisant une photo ou une vidéo pour remplacer son identité. L’usurpation faciale est le plus souvent utilisée pour commettre une fraude d’identité bancaire. Cependant, il est également utilisé dans le blanchiment d’argent.

Comment détecter l’usurpation d’identité

L’usurpation d’identité peut être sophistiquée, la clé est donc de porter une attention particulière aux détails et de faire confiance à votre instinct. Méfiez-vous des sites Web sans symboles de verrouillage ou barres vertes, ou des URL commençant par HTTP au lieu de HTTPS, la version cryptée de HTTP. Une autre façon de détecter un faux site Web est de savoir si votre gestionnaire de mots de passe ne remplit pas automatiquement votre identifiant, signe qu’il ne reconnaît pas le site Web.

Avec les e-mails, examinez de près l’adresse de l’expéditeur, en gardant à l’esprit que les escrocs utiliseront de faux domaines très similaires aux domaines légitimes. Bien sûr, les fautes de frappe, la mauvaise grammaire et la syntaxe inhabituelle dans l’e-mail sont également des signaux d’alarme. Si vous n’êtes toujours pas sûr, copiez et collez le contenu de l’e-mail dans Google, où une recherche rapide peut révéler si une arnaque connue circule. Enfin, survolez toujours un lien intégré pour révéler l’URL avant de cliquer dessus. Si l’URL semble suspecte, il s’agit probablement d’une arnaque.

Avec les téléphones, l’identification de l’appelant est facilement usurpée. Les escrocs utilisent souvent l’usurpation de voisinage, il semble donc que les appels proviennent d’un numéro local. Ils peuvent également usurper un numéro d’un organisme gouvernemental ou d’une entreprise que vous connaissez et en qui vous avez confiance. La Federal Communication Commission conseille aux gens de ne pas répondre aux appels provenant de numéros inconnus et, si vous répondez à un tel appel, de raccrocher immédiatement.