Trace Id is missing

La cybersécurité pendant la période des impôts : Ce que veulent les cybercriminels et qui ils ciblent le plus. Est-ce vous ?

Partagez
Illustration graphique montrant un ordinateur portable avec des documents fiscaux à l’écran, des documents papier s’envolant dans un dossier marqué « tax » (impôts)

Dans le paysage actuel des menaces, les attaques par hameçonnage, qui concernant par exemple les décès ou les impôts, sont inévitables. Pour les acteurs de la menace motivés par l’argent, la pression des délais et l’échange frénétique de formulaires et de documents qui ont lieu pendant la période des impôts leur offrent une occasion alléchante de déployer des campagnes d’hameçonnage ciblant les données ultra-sensibles de millions de particuliers et d’entreprises aux prises avec le stress et les erreurs d’inattention.

Bien que tout le monde puisse être la cible d’hameçonnage pendant la période des impôts, certains groupes de personnes sont plus exposés au risque que d’autres. Les principales cibles sont les personnes qui peuvent être moins informées des méthodes de communication du service des impôts (comme l’IRS aux États-Unis), les détenteurs de titre de citoyenneté (par ex. : la carte verte), les propriétaires de petites entreprises, les nouveaux contribuables âgés de moins de 25 ans et les contribuables plus âgés, de plus de 60 ans.

Ce rapport spécial sur la veille des menaces liées à la période des impôts passe en revue les tactiques, techniques et procédures (TTP) les plus utilisées par les acteurs malveillants, dans les sections suivantes :

  • La Veille des menaces Microsoft découvre une campagne d’hameçonnage pour la période des impôts 2024, qui décrit en détail une nouvelle technique d’hameçonnage de la période des impôts faisant appel à des leurres qui ressemblent à des documents fiscaux fournis par les employeurs.
  • Des acteurs de la menace usurpent l’identité des services de traitement des paiements des impôts dans les courriels d’hameçonnage, qui présente une observation faite par Veille des menaces Microsoft sur l’utilisation de logos de services tiers de traitement des paiements des impôts fédéraux par ces mêmes individus.
  • Les objectifs des cybercriminels pendant la période des impôts, dans laquelle nous faisons état des différents types de données ultra-sensibles généralement ciblées au moment de la déclaration d’impôts.
  • Les méthodes utilisées par les cybercriminels pour obtenir vos données, où nous décrivons les techniques d’ingénierie sociale en lien avec la période des impôts les plus utilisées par les acteurs malveillants.
  • Les meilleures pratiques en matière de cybersécurité pendant la période des impôts, avec des conseils utiles et des recommandations pour rester vigilant face aux attaques d’ingénierie sociale.

La Veille des menaces Microsoft a déjà observé des activités d’hameçonnage pendant la période des impôts, notamment une campagne menée fin janvier 2024 à l’aide de leurres qui ressemblent à des documents fiscaux fournis par les employeurs.

Les figures suivantes montrent (1) les courriels d’hameçonnage, (2) le site web malveillant, (3) et les deux exécutables des logiciels malveillants utilisés lors de cette campagne :

Un courriel d’hameçonnage de la période de déclaration d’impôts observé par la Veille des menaces Microsoft en janvier 2024.
Figure 1 : Un courriel d’hameçonnage contient une pièce jointe en HTML qui dirige l’utilisateur vers une fausse page de destination
Capture d’écran d’un site web malveillant
Figure 2 : Les utilisateurs ont été dirigés vers une page web que les auteurs de la menace ont rendue intentionnellement floue, une technique de piratage psychologique destinée à augmenter les probabilités de clic. Lorsque les cibles cliquent sur l’invite « Télécharger les documents », le logiciel malveillant s’installe sur leur ordinateur.
Capture d’écran d’une fenêtre de l’Explorateur de fichiers Windows montrant deux fichiers dans le dossier « Programmes » : « deepvau", un application
Figure 3 : Un fichier exécutable malveillant capable de dérober des informations a été déposé sur la machine de la cible. Une fois dans l’environnement, il va tenter de collecter des informations, notamment les informations d’identification.

Les acteurs de la menace se font passer pour des entités officielles

Lors d’autres campagnes, Microsoft a constaté que des acteurs de la menace utilisaient des images provenant de sites web légitimes de services tiers de traitement des paiements des impôts fédéraux dans leurs courriels d’hameçonnage afin que ces derniers paraissent réalistes.

Malgré l’apparence légitime de ces courriels, il est essentiel que les contribuables sachent que les organismes officiels tels que l’IRS ne contactent pas les contribuables par courriel, SMS ou appels téléphoniques pour des questions fiscales.

Dans de rares cas, un cybercriminel peut utiliser des informations volées pour commettre une fraude de remboursement d’impôt. Dans ce cas particulier, les cybercriminels remplissent une déclaration de revenus au nom de la victime et demandent un remboursement.1 Cette méthode a toutefois peu de chances d’aboutir en raison des mesures de protection de l’IRS. Dans un scénario plus probable, un cybercriminel qui accède à vos informations au moment de la déclaration d’impôts cherchera très certainement des moyens de monnayer ces informations, comme il le ferait à n’importe quel autre moment de l’année. Il peut s’agir de souscrire un contrat de carte de crédit en votre nom, de vendre les données ou l’accès à un autre cybercriminel, d’accéder directement à votre compte bancaire pour initier un transfert de fonds ou de faire des achats en ligne.

Vous trouverez ci-dessous les chiffres concernant (1) les leurres par courriels d’hameçonnage et (2) le site authentique d’un service de traitement tiers :

Un courriel d’hameçonnage avec une image d’en-tête « Authorized IRS » provenant du site web authentique d’une société de traitement des paiements tierce.
Figure 4 : Un courriel d’hameçonnage utilise une image d’en-tête (Authorized IRS) provenant d’ACI Payments, Inc., une société de traitement des paiements figurant sur le site web de l’IRS.
Capture d’écran d’une page web utilisant une image d’en-tête « Authorized IRS », tirée d’un site web réel d’ACI Payments, Inc.
Figure 5 : Exemple de mise en évidence de l’image authentique « Authorized IRS » sur le site web d'ACI Payments, Inc.

Les objectifs des cybercriminels pendant la période des impôts

Pendant la période des impôts, d’énormes quantités de données financières et d’identité sensibles circulent entre les particuliers et les organismes comme l’IRS et différents types de prestataires de services fiscaux, tels que les logiciels de déclaration d’impôts ou les marques proposant des services d’établissement de déclarations fiscales, les cabinets comptables et fiscaux locaux et les travailleurs indépendants.

Parmi les données les plus sensibles2 figurent les suivantes :

  • Identité : Numéros de sécurité sociale, permis de conduire ou carte d’identité nationale, renseignements de passeport, numéros d’identification d’employeur, numéros de fichier d’autorisation centralisé (États-Unis)
  • Comptes financiers : Numéros de comptes financiers, numéros de cartes de crédit et de débit (avec ou sans code de sécurité)
  • Mots de passe et accès : Mots de passe de messagerie électronique, numéros d’identification personnels (codes PIN) et codes d’accès

En ce qui concerne le risque général que représentent les trésors d’informations personnelles que l’on peut trouver dans les boîtes de réception d’une personne lambda, Wes Drone, expert en cybercriminalité de la Veille des menaces Microsoft, explique : « Les individus accumulent des données numériques dans leurs boîtes de réception, et les informations ainsi conservées sont très précieuses pour les cybercriminels. »

Ce risque est présent même en dehors de la période des impôts. Wes Drone souligne que le compte de messagerie électronique d’une personne lambda contient de la correspondance et des documents concernant pratiquement tous les aspects de sa vie personnelle, et que la période des impôts n’est qu’une des nombreuses occasions d’essayer de les voler.

« Si une personne malveillante accède à votre adresse électronique, elle peut réinitialiser les mots de passe de tous vos autres comptes », explique Wes Drone.

Le risque pour les particuliers peut également représenter un risque pour les entreprises. Selon Wes Drone, si un acteur de la menace accède à la boîte de courrier électronique d’un employé, il peut installer des logiciels malveillants au sein de l’environnement de l’employeur.

« Toutes sortes de problèmes peuvent arriver ensuite », explique M. Drone. « L’un des problèmes majeurs est la compromission de messagerie d’entreprise : les cybercriminels vont alors interagir avec vos fournisseurs ou vos clients. Ils modifient les numéros des factures, envoient de fausses factures et détournent l’argent, ce qui peut représenter des sommes très importantes. »

Les méthodes utilisées par les cybercriminels pour obtenir vos données

Si les techniques d’hameçonnage utilisées par les cybercriminels ne sont pas nouvelles, elles n’en demeurent pas moins extrêmement efficaces. Quelles que soient les variantes, les attaques par hameçonnage menées contre les particuliers pendant la période des impôts aboutiront principalement à l’un des deux résultats suivants : le téléchargement d’infostealers (un programme malveillant de type Cheval de Troie) ou la saisie par les utilisateurs de leurs identifiants sur des pages d’accueil falsifiées. Plus rarement, les hameçonneurs peuvent chercher à obtenir un accès pour télécharger un rançongiciel.

Les campagnes d’hameçonnage menées pendant la période des impôts tentent de tromper les utilisateurs en leur faisant croire qu’elles représentent des sources légitimes, comme les employeurs et le personnel des ressources humaines, le fisc (comme l’IRS), les organisations fiscales étatiques ou les prestataires de services fiscaux tels que les comptables et les services d’établissement de déclarations fiscales (en utilisant souvent des marques réputées et des logos de confiance).

Les tactiques courantes utilisées par les cybercriminels pour piéger leurs victimes consistent à usurper les pages d’accueil de services ou de sites web authentiques, à utiliser des URL dont le format est vraisemblable alors qu’elles ne le sont pas (domaines homoglyphes) et à personnaliser les liens d’hameçonnage pour chaque utilisateur.

M. Drone explique : « La raison pour laquelle ces campagnes d’hameçonnage pendant la période des impôts continuent de fonctionner, et ce depuis des années, est que personne ne souhaite recevoir une communication du fisc. » M. Drone fait remarquer que la réception de messages relatifs aux impôts peut être source d’anxiété dès qu’ils arrivent dans la boîte de réception.

« Bien sûr, les gens ne veulent pas passer à côté de leur remboursement ou se le faire voler », poursuit-il. « Les cybercriminels exploitent ces craintes et ces émotions dans leurs attaques d’ingénierie sociale pour susciter l’anxiété, poussant ainsi les personnes à cliquer rapidement et à accomplir ce qu’ils doivent faire sans tarder. »

Bien que les acteurs de la menace utilisent divers leurres mettant en scène différents organismes, les courriels d’hameçonnage présentent certaines caractéristiques communes.

  • Élément A – Identité visuelle : Une caractéristique visant à faire baisser votre garde. Les cybercriminels utilisent des marques familières que vous vous attendez à voir à cette période de l’année, comme celles du fisc ou des sociétés et services d’établissement des déclarations fiscales.
  • Élément B – Contenu émotionnel : Les leurres par hameçonnage les plus efficaces sont ceux dont le message suscite des émotions. Pendant la période des impôts, les cybercriminels misent sur l’espoir (« Vous avez droit à un remboursement important et inattendu ! ») et sur la peur (« Votre remboursement est en attente » ou « Vous devez payer une pénalité importante »).
  • Élément C – Urgence : Pour un cybercriminel, l’urgence est souvent ce qui incite les individus à agir de façon inhabituelle. Dans l’urgence, le contraire de ce que vous souhaitez voir se produire ou ne pas voir se produire se produira si vous n’agissez pas avant la date limite.
  • Élément D – Le clic : Qu’il s’agisse d’un lien, d’un bouton ou d’un code QR, les cybercriminels veulent que vous cliquiez sur un lien pour quitter votre boîte de réception et ainsi accéder à leur site web malveillant.
Un ordinateur portable affiche un exemple de courriel d’hameçonnage avec des icônes indiquant les aspects de l’image qui seront expliqués dans l’article.
Figure 6 : Les interpellations en toutes lettres mettent en évidence certaines des fonctionnalités caractéristiques d’un courriel d’hameçonnage.

Pour se protéger efficacement contre les cybercriminels, aussi bien pendant la période des impôts que tout au long de l’année, il est essentiel de se former et d’adopter une bonne cyberhygiène. La formation passe par la connaissance de l’hameçonnage, c’est-à-dire savoir repérer les tentatives d’hameçonnage et connaître la manière de réagir lorsqu’on en fait l’expérience. Une bonne cyberhygiène implique la mise en œuvre de mesures de sécurité de base telles que l’authentification multifacteur pour les comptes financiers et les comptes de messagerie électronique.

À l’approche de la date limite de déclaration des revenus, voici quelques recommandations supplémentaires pour aider les utilisateurs et les spécialistes de la défense à rester vigilants face aux menaces liées aux impôts.

Sept moyens de vous protéger contre l’hameçonnage

Si vous tombez dans le piège d’une attaque par hameçonnage, vous risquez de divulguer des informations confidentielles, de voir vos réseaux infectés, de subir des demandes financières, d’avoir des données corrompues, voire pire. Voici comment éviter cela.3
  • Vérifiez l’adresse électronique de l’expéditeur. Semble-t-elle correcte ? La présence d’un caractère mal positionné ou d’une orthographe inhabituelle pourrait indiquer une fausse adresse.
  • Méfiez-vous des courriels aux salutations génériques (« Cher client », par exemple) qui vous demandent d’agir de toute urgence.
  • Veillez à ce que les coordonnées de l’expéditeur soient vérifiables. En cas de doute, ne répondez pas. Ouvrez un nouvel courriel pour répondre.
  • N’envoyez jamais d’informations sensibles par courrier électronique. Si vous devez transmettre des informations confidentielles, faites-le par téléphone.
  • Réfléchissez à deux fois avant de cliquer sur des liens inattendus, surtout s’ils vous demandent de vous connecter à votre compte. Pour plus de sécurité, connectez-vous plutôt à partir du site officiel.
  • Évitez d’ouvrir des pièces jointes provenant d’expéditeurs inconnus ou d’amis qui n’ont pas l’habitude de vous envoyer des pièces jointes.
  • Installez un filtre anti-hameçonnage pour vos applications de courrier électronique et activez le filtre anti-courrier indésirable sur vos comptes de courriel.

Activer l’authentification multifacteur (MFA)

Vous souhaitez réduire les chances d’attaques réussies sur vos comptes ? Activez l’authentification multifacteur (MFA). L’authentification multifacteur, comme son nom l’indique, nécessite au moins deux facteurs de vérification.

En activant la MFA, même si un pirate obtient votre nom d’utilisateur et votre mot de passe, il ne pourra pas accéder à vos comptes et à vos informations personnelles. La compromission de plus d’un facteur d’authentification représente un défi important pour les attaquants, car il ne suffit pas de connaître (ou de pirater) un mot de passe pour accéder à un système. En activant la MFA, vous pouvez empêcher 99,9 % des attaques sur vos comptes.4

Articles connexes

Une cyberhygiène de base permet d’éviter 99 % des attaques

La cyberhygiène de base reste le meilleur moyen de défendre les identités, les appareils, les données, les applications, l’infrastructure et les réseaux d’une organisation contre 98 % de toutes les cybermenaces. Découvrez des conseils pratiques dans un guide complet.
En savoir plus

Décryptage de la compromission de messagerie d’entreprise

Matt Lundy, expert en criminalité numérique, donne des exemples de compromission de messagerie d’entreprise, décryptant l’une des formes les plus courantes et les plus coûteuses de cyberattaque.
En savoir plus

Elle se nourrit de l’économie de la confiance : la fraude par piratage psychologique

Explorez un paysage numérique en pleine évolution où la confiance est à la fois une monnaie et une vulnérabilité. Découvrez les tactiques de fraude par piratage psychologique les plus utilisées par les cyberattaquants et passez en revue les stratégies qui peuvent vous aider à identifier et à déjouer les menaces par piratage psychologique conçues pour manipuler la nature humaine.
En savoir plus

Suivez la Sécurité Microsoft