Une conversation dangereuse : comment les pirates s’y prennent-ils pour abuser de votre confiance

Cela vous dit quelque chose?

« Bonjour, je m’appelle Jean Desbiens du service de dépannage de [votre chambre ou association]. Je dois m’assurer que votre ordinateur est configuré de sorte que les modifications que nous prévoyons y apporter ne posent pas de problème lorsque vous accéderez au système MLS® de la chambre. Premièrement, veuillez confirmer le nom d’utilisateur ou le code d’identification public du système MLS® de votre chambre. »

Après avoir reçu le code d’identification public, Jean transmet au membre son adresse, son numéro de téléphone et son adresse de courriel, puis lui demande de les confirmer. Ensuite, il demande au membre s’il est près de l’ordinateur et sur Internet. Parfait! « Je vous demanderais maintenant d’entrer dans le système MLS® de la chambre et de changer votre mot de passe – ne me le dites pas – pour des raisons de sécurité, vous ne devez jamais le dévoiler à qui que ce soit. » Enfin, Jean aide la personne à télécharger un correctif pour s’assurer que le nouveau concepteur de rapports du système MLS® fonctionnera le mois prochain, au moment de la mise à niveau.

Qu’est-ce qui vient de se passer? L’ordinateur du membre et ses comptes en ligne viennent d’être compromis – y compris l’accès au système MLS® de la chambre, aux comptes bancaires et à tout autre compte auquel il possible d’accéder à partir de cet ordinateur. Lui ou elle est victime de ce que certains pirates qualifient d’« ingénierie sociale » ou de « hameçonnage » : soit porter atteinte à la sécurité en manipulant la personne au lieu de l’ordinateur.

L’objectif du pirate informatique était d’instaurer la confiance, puis de la trahir.  Analysons la situation :

  1. Premièrement, le pirate s’est rendu au site Web de la chambre immobilière et y a repéré le nom d’un membre du personnel de soutien. C’est le nom qu’il a pris lorsqu’il a téléphoné au membre. Il s’est servi de cette identité pour susciter la crainte chez le membre afin d’obtenir des renseignements et d’apporter des modifications à son ordinateur.
  2. Le pirate a ensuite demandé au membre de changer son mot de passe, mais, pour des raisons de sécurité, de ne pas lui dire son nouveau mot de passe, sous prétexte qu’il veillait à la sécurité de la victime. Il lui a ensuite demandé de télécharger un fichier tiré d’un site Web qui a pris en charge l’ordinateur de la victime, en enregistrant tout ce que la victime a tapé – y compris les données de connexion d’ordinateur et de comptes en ligne – pour être en mesure de les télécharger plus tard à des fins d’analyse.
  3. Enfin, le couronnement de ses efforts : obtenir que le membre installe un logiciel malveillant.

Rappelez-vous qu’il est facile de simuler l’option d’identification de la personne et d’« arnaquer » le courriel en envoyant une fausse adresse d’expéditeur. Comment alors peut-on confirmer la légitimité d’une demande? Vous pourriez prendre des mesures raisonnables, telles : composer le numéro principal de la chambre ou envoyer un courriel à une autre personne que vous connaissez au sein de l’organisation. Bien qu’il soit possible que le pirate tente de faire croire que la situation est urgente, faites votre possible pour confirmer la légitimité de la demande lorsque vous jugez qu’un comportement est douteux.

L’« hameçonnage » est une forme d’ingénierie sociale qui comprend les communications électroniques – habituellement le courriel, mais les médias sociaux également. À titre d’exemple : « Les gens disent des choses terribles à votre sujet! Cliquez sur ce lien! » ou « Regardez cette photo loufoque que je viens d’afficher sur Facebook! » Dans un cas comme dans l’autre, vous pourriez facilement vous retrouver sur un site qui installe un virus sur votre ordinateur, ou qui ressemble à celui de votre banque et cherche à recueillir vos renseignements bancaires.

Lorsque vous recevez un courriel, un gazouillis ou un appel téléphonique, prenez quelques secondes pour vous poser des questions : « Est-ce que je connais cette personne? Y a-t-il quelque chose de louche au sujet de la demande? » Il ne s’agit pas de paranoïa, mais d’une prise de conscience.

Évitez de devenir victime d’une « ingénierie sociale » ou d’« hameçonnage ». La sensibilisation à la sécurité peut aider à prévenir le vol de renseignements personnels et confidentiels. Consultez le Lien IMMOBILIERMC afin d’obtenir de plus amples renseignements pour vous protéger contre les pirates.

Celui-ci est le troisième d’une série de courts articles affichés au Café ACI qui visent à rendre la sécurité de l’information plus accessible – et plus facile à comprendre. Nous souhaitons que vous sensibiliserez davantage à la sécurité de l’information en partageant les articles dans votre bureau et parmi les membres de votre propre communauté en ligne. Pour obtenir de plus amples renseignements sur les pratiques exemplaires sur la sécurité de l’information pour les courtiers et agents immobiliers, les dirigeants d’agence et les chambres et associations, visitez le Lien IMMOBILIERMC.

L’article ci-dessus est publié à titre d’information; il ne constitue nullement des conseils juridiques et ne cherche pas à se substituer à un conseiller juridique.

Matt Cohen, le technologiste en chef de Clareity Consulting, compte plus de 17 ans d’expérience dans la technologie de l’immobilier et les affaires. Les fournisseurs de logiciels et de technologies de l'immobilier consultent Matt quand ils ont besoin d'aide en matière de planification de produits, de conception de logiciels, d'assurance de la qualité, de convivialité et de sécurité de l'information. Matt a été conférencier à plusieurs événements commerciaux, il a été cité à titre d'auteur dans le rapport TRENDS de Stefan Swanepoel et plusieurs magazines, et il figure sur la liste des 100 personnalités de l'immobilier les plus influentes d'Inman en 2013.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.