En ce qui concerne vos informations personnelles, votre Numéro de sécurité sociale est le plus convoité par les cybercriminels en raison de la façon dont il peut être utilisé pour commettre vol d’identité. Cependant, les numéros de sécurité sociale sont souvent utilisés comme identifiant universel malgré les risques pour la sécurité.
Selon un nouveau article de blog (s’ouvre dans un nouvel onglet) de la société de sécurité des e-mails INKY, une nouvelle campagne de phishing fait actuellement le tour en ligne qui utilise les numéros de sécurité sociale des victimes potentielles comme leurre.
L’entreprise a détecté pour la première fois un afflux de nouveaux e-mails de phishing en septembre de cette année, qui prétendent provenir de la Social Security Administration (SSA). Après une inspection plus approfondie, cependant, la véritable origine de ces e-mails est en fait une adresse Gmail aléatoire.
Néanmoins, de nombreuses personnes peuvent tomber dans le piège de cette escroquerie par hameçonnage lorsque ces faux e-mails arrivent dans leur boîte de réception, car ils sont en fait assez convaincants à première vue.
Attention à ces lignes d’objet
Afin d’inciter les gens à ouvrir leurs e-mails de phishing, les escrocs essaient souvent d’instiller un sentiment d’urgence chez les victimes potentielles. Dans cette campagne en particulier, ils utilisent la menace de voir son numéro de sécurité sociale suspendu pour inciter les victimes à répondre.
Vous verrez des lignes d’objet telles que « SSN va être suspendu », « SSN trouvé dans des activités suspectes » et « Alerte SSN ! Avertissement de résiliation. »
À côté des lignes d’objet telles que « SSN va être suspendu », « SSN trouvé dans des activités suspectes » et « Alerte SSN ! Termination Warning », les cybercriminels à l’origine de cette campagne incluent également des numéros d’identification de cas ou des numéros de dossier pour rendre leurs e-mails de phishing plus légitimes.
Bien que les e-mails eux-mêmes ne contiennent pas malware ou toute autre chose dangereuse, ils arrivent avec une pièce jointe PDF sous la forme d’une lettre de la SSA. Les logos largement utilisés de la SSA sont présents à côté d’un court slogan qui se lit comme suit : « Sécuriser aujourd’hui et demain ».
Inclure les numéros de dossier ou de dossier a beaucoup de sens ici car ils rendent ces messages plus légitimes sans aucun moyen pour les victimes potentielles de vérifier si ces chiffres sont exacts ou non.
Du phishing classique au phishing vocal
Les cybercriminels, les pirates et les escrocs essaient normalement d’inclure des fichiers malveillants ou des logiciels malveillants dans leurs pièces jointes. Cependant, ces charges utiles sont souvent détectées par les logiciels de sécurité de messagerie et les messages sont incapables d’atteindre leurs cibles.
Dans cette campagne cependant, la fausse lettre prétendant provenir de la SSA comprend un numéro de téléphone que les destinataires peuvent appeler en cas de questions. Ici, les cybercriminels passent du phishing au vishing (hameçonnage vocal). Le vishing est devenu une méthode d’attaque de plus en plus populaire, car les victimes entrent elles-mêmes en contact avec les escrocs, et non l’inverse.
Dans un e-mail adressé à Tom’s Guide, l’analyste en cybersécurité Bukar Alibe d’INKY a expliqué qu’une fois qu’une victime appelle les escrocs, on lui demande de vérifier son numéro de sécurité sociale, son nom et sa date de naissance. Les escrocs récoltent également les informations bancaires des victimes ou exigent un paiement en cartes cadeaux ou crypto-monnaie pour résoudre tout problème avec leur numéro de sécurité sociale.
Ceci est particulièrement préoccupant car toutes ces informations sont exactement ce dont quelqu’un aurait besoin pour commettre une fraude en votre nom ou même pour voler votre identité.
Comment se protéger du phishing
Afin de rester à l’abri du phishing, vous devez toujours examiner attentivement tous les e-mails qui arrivent dans votre boîte de réception. Les mots mal orthographiés et une mauvaise grammaire sont un drapeau rouge majeur et les e-mails examinés par INKY contiennent plusieurs exemples des deux.
Les agences gouvernementales américaines ne vous demandent jamais de fournir des informations sensibles par téléphone, cela peut donc servir de cadeau mort.
Outre ces fautes d’orthographe et de grammaire, il est important de garder à l’esprit que les numéros de sécurité sociale ne sont pas réellement suspendus selon un article de blog (s’ouvre dans un nouvel onglet) de la FTC. En même temps, comme le IRS, la Social Security Administration préfère utiliser le courrier physique pour entrer en contact. L’organisation ne contactera les personnes par e-mail ou par téléphone que si elles ont des affaires en cours avec elles.
Lorsque vous traitez avec un escroc, vous ne devez jamais donner d’informations par téléphone. Qu’ils demandent des informations personnelles ou financières, celles-ci pourraient être utilisées contre vous. Les agences gouvernementales américaines ne vous demandent jamais de fournir des informations sensibles par téléphone, cela peut donc prouver que vous avez affaire à des escrocs et non à de vrais employés du gouvernement.
S’il vous arrive de répondre à un e-mail ou à un message d’hameçonnage, le fait d’avoir l’un des meilleur logiciel antivirus Les solutions installées sur vos appareils peuvent vous empêcher d’être infecté par des logiciels malveillants. Dans une situation comme celle-ci cependant, le meilleurs services de protection contre le vol d’identité peut vous aider à retrouver votre identité ainsi que les fonds perdus ou volés.
Tant que nous ne modifierons pas la fréquence d’utilisation de nos numéros de sécurité sociale dans la vie de tous les jours, des attaques de phishing similaires à celle-ci continueront probablement de se produire. C’est pourquoi vous devez rester vigilant en ligne et inspecter de près tous les e-mails que vous recevez.