L’un des moyens les plus simples d’introduire rapidement des logiciels malveillants sur le PC d’une victime consiste à lui faire croire qu’elle obtient quelque chose gratuitement et à lui faire installer tout elle-même. C’est ce que font les criminels du Royaume-Uni dans le but de voler de l’argent à leurs cibles.
Des escrocs du Royaume-Uni envoient des clés USB avec les suites Office de Microsoft dans des emballages apparemment réels de Microsoft à des adresses aléatoires en essayant de faire croire aux victimes qu’ils ont reçu par erreur un Office Professional Plus légitime (d’une valeur de 439 $). Une fois que la victime a branché la clé USB sur son PC, il ne s’agit pas d’un assistant d’installation de lancement d’Office, mais encourage les gens à appeler une fausse ligne d’assistance. Ce dernier persuade alors la victime de remettre l’accès à distance au PC et de lui fournir des informations de paiement, rapporte Sky News (s’ouvre dans un nouvel onglet).
« Dès qu’ils ont branché la clé USB sur l’ordinateur, un écran d’avertissement est apparu indiquant qu’il y avait un virus », a déclaré Martin Pitman. (s’ouvre dans un nouvel onglet), consultant en cybersécurité pour Atheniem. « Pour obtenir de l’aide et résoudre le problème, ils ont dû appeler un numéro sans frais pour remettre l’ordinateur en marche. Dès qu’ils ont appelé le numéro à l’écran, le service d’assistance a installé une sorte de [remote access program] et a pris le contrôle de l’ordinateur de la victime. Ici, les pirates ont « trié » le problème, puis ont transmis la victime à l’équipe d’abonnement Office 365 pour l’aider à mener à bien l’action. »
Les attaques par appâtage ne sont pas nouvelles, mais elles ciblent des victimes spécifiques et utilisent rarement des colis postaux pour diverses raisons. Mais les fraudeurs du Royaume-Uni ont ciblé des personnes au hasard en utilisant des colis postaux, selon l’expert en cybersécurité. Un tel ciblage peut sembler inefficace, mais si vous envoyez un millier de packages Microsoft Office contrefaits et que vous volez de l’argent à quelques dizaines de personnes, l’acte sera rapidement rentabilisé. De plus, cela pourrait être plus efficace que d’envoyer des millions d’e-mails frauduleux, car les gens sont aujourd’hui conscients des escrocs par e-mail.
Microsoft est conscient du problème, mais affirme qu’il s’agit d’un événement rare. Cependant, il n’est pas si rare que Microsoft s’en rende compte et lance une enquête interne. De nos jours, la société préfère distribuer ses logiciels via Internet et conseille à ses clients de visiter une page de support appropriée (s’ouvre dans un nouvel onglet) pour savoir comment éviter les fraudes et les escroqueries.