Quiz sur le Code de Scam de Perte de Paiement Autorisé (APP)

Study Notes

Le phishing est une forme d'escroquerie sur internet, où le fraudeur se fait passer pour un organisme connu pour obtenir des informations personnelles.
En 2020, 22% des failles de sécurité recensées concernaient des cas d'hameçonnage.
Le pourcentage de SPAM dans le monde est passé de 80% en 2011 à 45% en 2021.
96% des attaques de phishing arrivent par email, 3% via des sites internet malicieux et 1% via téléphone (SMS).

Phishing interne : emails envoyés d'un employé à un autre au sein de la même organisation en utilisant un compte d'entreprise compromis.
Spear phishing : attaque ciblée contre une personne ou une entreprise en particulier.
Whaling : attaque ciblée contre des cibles de haut rang sélectionnées au sein d'une organisation.
Phishing de la supply chain : attaque contre la supply chain pour compromettre les systèmes de l'entreprise.
BEC (Business Email Compromise) : escroquerie par email pour obtenir des informations financières.
Smishing : phishing via SMS.
Spimming : envoi de pourriels ou de messages non sollicités à travers des services de messagerie instantanée.
Email Spooﬁng : type d'attaque qui vise à usurper l'adresse email d'un expéditeur légitime.
Vishing : phishing via téléphone.

Les gens font trop confiance en leur filtre anti-SPAM.
Les fraudeurs réalisent de plus en plus de recherches personnelles sur les victimes avant de l'attaquer.

1. Le hovering : passer le curseur de la souris sur le lien pour faire apparaître en infobulle le vrai lien de redirection.
1. La console HTML du navigateur : ouvrir la console du navigateur pour voir le code HTML du lien.
1. Les outils de vérification d'URL : utiliser des outils en ligne pour vérifier si un lien est légitime ou non.

Phishing : attaque généralisée contre une grande quantité de personnes.
Spear Phishing : attaque ciblée contre une personne ou une entreprise en particulier.
Whaling : attaque ciblée contre des cibles de haut rang sélectionnées au sein d'une organisation.

Escroquerie par email pour obtenir des informations financières.
Les attaques de type BEC ont coûté en 2020 plus de 1,8 milliard de dollars aux entreprises américaines.

Attaque contre la supply chain pour compromettre les systèmes de l'entreprise.
Les MSP (Managed Service Provider) sont les victimes numéro 1 de ce type d'attaque.### Vishing - Authorised Push Payment Fraud
La faille : l'être humain et sa crédulité ou la persuasion des fraudeurs
Les dernières techniques les plus sophistiquées d'ingénierie sociale
1. La méthode la plus complexe : enregistrer son propre device en lieu de place de la victime pour prendre le contrôle total du compte
1. Rassurer la victime en lui disant qu'un nouvel IBAN sécurisé a été créé à cause de l'activité frauduleuse sur son compte et lui proposer de "mettre son argent dans un coffre fort virtuel temporaire"

Vishing, Spammer (smishing), Alloteur (vishing) et Ouvreur (Cashout/blanchiment)

Un changement de paradigme depuis la décision de la cour suprême en Suède ?
Les banques se défendent de rembourser les victimes comme il a autorisé l'action via le SCA (strong customer authentication)
Mais ! Une décision récente de la Cour suprême de Suède va peut-être changer le statu quo !

Le Spooﬁng de l'appelant consiste à faire en sorte que le réseau téléphonique indique au destinataire d'un appel que l'auteur de l'appel est un poste autre que le véritable poste d'origine
1. VoIP (voice over the internet) : Le moyen le plus populaire pour spoofer l'identité de l'appelant
- Le VOIP permet d'afficher un numéro de téléphone de la région de la victime (fraude déportée)
- Il permet de modifier le nom affiché de l'appelant (se prétendant une banque et affichant BNP Paribas sur le terminal de l'appelé par exemple)
1. Orange Boxing
- Ce boîtier orange est une hardware (ou logiciel) qui génère des signaux de modulation par déplacement de fréquence (FSK) pour usurper les informations d'identification de l'appelant sur le terminal d'identification de l'appelant de la cible