Comment repérer et éviter les escroqueries liées au COVID-19
Publié: 2022-01-29Pour arrêter la propagation du coronavirus, des millions de personnes restent à la maison, travaillent à domicile, portent des masques lorsqu'elles sortent et se lavent fréquemment les mains pendant au moins 20 secondes. Malheureusement, ces techniques ne vous protégeront pas contre les escrocs qui suivent à la suite de la pandémie mondiale de COVID-19. Pour cela, vous aurez besoin de différentes stratégies pour repérer les escroqueries et vous protéger avant que les escrocs ne puissent vous attaquer.
L'IRS donne, les escrocs enlèvent
Aux États-Unis, le gouvernement fédéral a affecté des fonds importants aux entreprises et aux particuliers touchés par la COVID-19. Cela relie l'argent et la peur ; les deux principaux outils des escrocs.
Étant donné que l'IRS gère la dispersion des paiements de la loi CARES, il est prudent de supposer que de nombreux escrocs recycleront leurs escroqueries fiscales éprouvées. Comme pour les escroqueries de la saison des impôts (qui sont encore en saison jusqu'en juillet), la méthode de livraison est généralement la plus facile à dire. À de rares exceptions près, le gouvernement fédéral communique avec la population via USPS. Vous ne recevrez pas de SMS, d'e-mail, d'appel téléphonique, et surtout pas de message sur les réseaux sociaux ou WhatsApp de l'IRS demandant de l'argent, pendant la saison des déclarations de revenus ou autrement.
Sur le site Web de l'IRS, voici une liste d'actions que l'agence dit qu'elle ne fera pas :
-Appelez pour exiger un paiement immédiat en utilisant un mode de paiement spécifique tel qu'une carte de débit prépayée, une carte-cadeau ou un virement bancaire. Généralement, l'IRS enverra d'abord une facture à tout contribuable qui doit des impôts.
- Exiger que vous payiez des impôts sans avoir la possibilité de remettre en question ou de faire appel du montant qu'ils disent que vous devez. Vous devez également être informé de vos droits en tant que contribuable.
- Menacer de faire venir la police locale, les agents de l'immigration ou d'autres forces de l'ordre pour vous faire arrêter pour non-paiement. L'IRS ne peut pas non plus révoquer votre permis de conduire, vos licences commerciales ou votre statut d'immigration. De telles menaces sont des tactiques courantes utilisées par les escrocs pour inciter les victimes à participer à leurs stratagèmes.
Un thème qui traverse toutes ces tactiques est l'urgence. Les escrocs cherchent à court-circuiter votre meilleur jugement en fixant des délais ou des conséquences graves. Les méchants peuvent prétendre que vous devez agir rapidement pour recevoir de l'argent ou vous forcer à agir rapidement pour leur donner de l'argent. Ils peuvent également prétendre que la police, l'immigration ou une autre menace implicite de violence est impliquée. Tous ces éléments sont conçus pour vous empêcher de prendre le temps de réfléchir à ce qui vous est demandé et de vous empêcher de vérifier les faits. La catastrophe rapide et déroutante de COVID-19 a rendu d'autant plus difficile de s'accrocher à la réalité, ce qui fonctionne à l'avantage de l'escroc.
Alors que les escroqueries fiscales sont le modèle le plus probable pour les escroqueries de paiement de coronavirus, l'IRS a une liste d'autres escroqueries possibles. L'un des plus gros tuyaux ? Le vrai fisc n'appellera pas cela un "stimulus" ou un "renflouement". Vous trouverez ci-dessous d'autres éléments à surveiller, sur le site Web de l'IRS.
L'IRS rappelle aux contribuables que les escrocs peuvent :
-Insistez sur les mots "Chèque Stimulus" ou "Paiement Stimulus". Le terme officiel est paiement d'impact économique.
-Demander au contribuable de lui remettre son chèque de paiement d'impact économique.
-Demander par téléphone, e-mail, SMS ou réseaux sociaux une vérification des informations personnelles et/ou bancaires indiquant que ces informations sont nécessaires pour recevoir ou accélérer leur paiement à impact économique.
-Suggérer qu'ils peuvent obtenir un remboursement d'impôt ou un paiement d'impact économique plus rapidement en travaillant au nom du contribuable. Cette escroquerie pourrait être menée par les médias sociaux ou même en personne.
- Envoyez au contribuable un faux chèque, peut-être d'un montant impair, puis dites-lui d'appeler un numéro ou de vérifier les informations en ligne afin de l'encaisser.
Malheureusement, aucune enquête intelligente ne peut suffire à protéger votre paiement IRS. Le New York Times rapporte que, parce que l'IRS a besoin de si peu d'informations pour détourner les contrôles d'impact économique, "[...] les criminels ont utilisé les numéros de sécurité sociale, les adresses personnelles et d'autres informations personnelles, dont la plupart étaient disponibles en ligne à partir de données antérieures. violations – pour assumer leur identité et les soutirer de leurs chèques de relance et de leurs allocations de chômage. »
Ce type d'attaque est rendu possible par les innombrables violations de données de la dernière décennie. Les personnes qui volent les données ne les utilisent pas toujours elles-mêmes. Au lieu de cela, ils vendent les données sur les places de marché du Dark Web où elles peuvent être combinées avec d'autres informations volées provenant d'autres violations de données. Finalement, un attaquant peut amasser les informations nécessaires pour se faire passer pour vous.
Même si vous êtes certain que l'IRS dispose des informations nécessaires pour envoyer votre paiement, prenez une minute pour vérifier l'état de votre paiement sur le tracker officiel de l'IRS. Cela pourrait fournir un avertissement si un escroc s'est déjà enfui avec votre argent COVID-19. Assurez-vous absolument que vous êtes sur le bon site Web avant de saisir vos informations.
Méfiez-vous des e-mails contenant des cadeaux
Bien que l'IRS ait été proactif en mettant en garde contre les escroqueries de paiement à impact économique, cela pourrait ne pas (encore) être la plus grande menace. "Compte tenu de l'attention portée à la législation américaine CARES, il serait surprenant que les criminels ne prévoient pas de profiter des intérêts individuels et de ce qui semble être des exigences de vérification laxistes de la part de l'IRS", a déclaré Chet Wisniewski, chercheur principal à Sophos, à PCMag. .
"À ce jour, nous ne voyons aucun spam ou charge utile de virus exploiter cela, mais nous continuerons à surveiller la situation et à faire savoir si cela change."
Cela ne signifie pas qu'il n'y a pas d'escroqueries dangereuses utilisant COVID-19 comme couverture. En fait, il semble que de nombreux escrocs le font. Google a récemment signalé qu'il bloquait 18 millions de faux e-mails liés au coronavirus par jour. Google a donné des exemples de certaines des escroqueries qu'il avait bloquées. Certains se faisaient passer pour des managers, référant les employés à des informations sur le travail à domicile qui étaient en réalité un lien malveillant. D'autres ont fait référence aux paiements à impact économique et ont exhorté les destinataires à ouvrir un fichier joint malveillant.
Google recommande d'éviter les fichiers inconnus ou inattendus directement sur votre ordinateur et d'utiliser à la place la visionneuse de documents intégrée. La société a également exhorté les gens à examiner très attentivement le domaine de messagerie (c'est ce qui vient après le signe @ dans une adresse e-mail) pour s'assurer qu'il est légitime. Il y a une grande différence entre [email protected] et [email protected]
La société de sécurité des e-mails GreatHorn a mis en contexte la somme stupéfiante d'e-mails frauduleux. Les recherches de la société montrent qu'au cours de la première quinzaine d'avril, 2,4 % des 1,4 milliard d'e-mails analysés étaient liés au COVID-19. Parmi ces e-mails liés au COVID-19, 36,6 % étaient des escroqueries.
Pharmacies factices et autres escroqueries
Il est plus facile de vendre un faux produit ou d'hameçonner quelqu'un avec succès si votre arnaque a un endroit où vivre. C'est peut-être en partie pourquoi il y a eu une augmentation des URL liées aux coronavirus.
Le 20 avril, la société de sécurité Check Point a signalé que 68 000 domaines de coronavirus étaient enregistrés depuis janvier et 16 989 seuls enregistrés au cours des deux premières semaines d'avril. Parmi ces inscrits en avril, 2 % ont été confirmés malveillants et 21 % suspects.
Les escrocs peuvent utiliser ces URL pour paraître plus légitimes. Les gens peuvent être plus susceptibles de faire confiance à une URL apparaissant pertinente qu'à une chaîne aléatoire de lettres et de chiffres. Notamment, Check Point rapporte que les enregistrements d'URL liés au coronavirus étaient 3,5 fois plus importants la semaine où les paiements d'impact économique ont été annoncés.
Il est important de noter que toutes les URL de coronavirus ne sont pas dangereuses. Un organisme de bienfaisance peut vouloir une URL pertinente pour aider à la collecte de fonds. Palo Alto Networks souligne que certains peuvent simplement être des investissements – des noms pertinents rapidement saisis dans l'espoir de les vendre à profit. C'est louche mais pas illégal. Plus discutable était un groupe de sites vendant des livres électroniques sur le coronavirus.
"Nous avons trouvé un groupe de sites Web s'appuyant sur les craintes déjà existantes des gens à l'égard du coronavirus et essayant de les effrayer davantage pour qu'ils achètent leur ebook", a écrit Palo Alto Networks dans le rapport de la société. "Tout d'abord, ils diffusent une vidéo dérangeante sur les situations et les événements les plus effrayants liés au coronavirus, puis ils annoncent le livre comme la clé pour survivre à cette pandémie." La société note que certains clients qui ont acheté le livre se sont plaints de ne pas avoir reçu le produit.
Qu'y a-t-il sur ces URL vraiment dangereuses ? Dans son rapport, Palo Alto Networks a trouvé de nouveaux rebondissements sur les vieux classiques. Certains sites contenaient simplement des charges utiles malveillantes, de fausses escroqueries au support technique et des vitrines conçues pour siphonner les informations de votre carte de crédit. D'autres étaient plus contemporains et insidieux. "Une fraction importante d'entre eux est utilisée à la fois pour des activités malveillantes bien connues et pour des magasins frauduleux vendant des articles en quantité insuffisante."
Certains sites peuvent avoir un coronavirus dans l'URL, mais colportent quelque chose de complètement différent. "Alors que les noms de domaine suggèrent que ces magasins vendent des remèdes contre le coronavirus, ils font principalement de la publicité pour le Viagra et d'autres médicaments sans rapport avec le virus." Palo Alto Networks note que les médicaments achetés auprès de sources en ligne douteuses peuvent ne pas être les mêmes que la vraie affaire et pourraient être vendus à des doses dangereuses.
Recommandé par nos rédacteurs
Lorsque vous essayez de repérer un site dangereux, Palo Alto Networks suggère de faire attention aux erreurs grammaticales et aux pages bourrées de mots clés pertinents. Un autre dire? Sites qui n'ont pas d'adresse ou de numéro de téléphone, mais qui incluent un numéro WhatsApp.
Faites confiance, mais vérifiez
Les X-Files nous imploraient de "ne faire confiance à personne", mais je préfère la devise de la guerre froide "faire confiance, mais vérifier". La paranoïa n'est pas utile, mais vous devez examiner attentivement toute information que vous recevez avant d'agir en conséquence.
Comment vérifier les informations à l'ère des fausses nouvelles est une autre affaire, mais au moins dans le domaine des escroqueries de l'IRS, il y a un bon endroit pour commencer : le site Web officiel de l'IRS www.irs.gov. Les escrocs peuvent fournir des adresses e-mail, des URL ou des numéros de téléphone dans leurs messages. Ne les utilisez que si vous pouvez les comparer exactement aux informations de contact sur le site Web de l'IRS. Si les escrocs prétendent appartenir à une autre agence ou à une banque, recherchez le site Web officiel de cette organisation et vérifiez les coordonnées. Si cela ne correspond pas, contactez quand même les canaux officiels. De cette façon, vous pouvez être sûr d'avoir raison et signaler la tentative de phishing.
Si vous êtes victime d'une escroquerie de paiement à impact économique, l'IRS dispose d'un processus complet pour le signaler et de ressources disponibles pour vous aider à identifier une escroquerie. Vous pouvez également joindre l'agence par téléphone, même si j'imagine que les temps d'attente du double coup dur de COVID-19 et de la saison prolongée des déclarations de revenus seront longs. Je recommande de mettre le téléphone en mode haut-parleur, de prendre des collations et de regarder Netflix pendant que vous attendez.
Tout cela est vrai pour les autres régimes liés au coronavirus. Si vous recevez des e-mails ou des SMS inattendus avec des appels à l'action ou des fichiers joints, redoublez de prudence. S'il provient de quelqu'un que vous connaissez, contactez-le par une autre méthode et vérifiez que ce que vous avez reçu est légitime.
Sachez que les escrocs sont très bons pour sélectionner les URL qui semblent légitimes et encore mieux pour créer des sites de phishing convaincants. Dans mon travail de test de la protection anti-hameçonnage de divers produits, j'ai utilisé de vrais sites d'hameçonnage en direct. Certains d'entre eux sont ridiculement mauvais, mais tout autant sont terriblement précis. Recherchez HTTPS au début de l'URL ou une icône de verrouillage à côté de l'URL. Ce n'est pas infaillible, mais c'est un début. Ensuite, regardez le reste de l'URL. Y a-t-il des fautes d'orthographe ? Y a-t-il plusieurs points dans le nom de domaine, faisant ressembler .com à .com.au.ru ? Ce sont tous des signes que le site n'est pas à la hausse. Pour en savoir plus sur la façon d'éviter ce type particulier de menace, veuillez lire Comment éviter les escroqueries par hameçonnage.
Les escrocs chercheront à vous empêcher de vérifier les informations de base, généralement avec des menaces ou des délais effrénés. Pour les escroqueries liées à l'IRS, il s'agit d'un drapeau rouge majeur, car le gouvernement américain évolue à un rythme géologique. C'est également le cas de la plupart des institutions financières, des créanciers, etc. Si vous recevez une communication d'une autorité ou d'un organisme exigeant une action immédiate, répondez immédiatement avec suspicion.
Appliquez également cette même tactique dans d'autres contextes. Un escroc voudra que vous agissiez d'abord et que vous réfléchissiez plus tard, qu'il s'agisse de vous faire cliquer sur un lien malveillant ou d'acheter un faux remède contre le coronavirus. Il est toujours avantageux de prendre le temps supplémentaire pour valider les réclamations que vous recevez, même si cela prend plus de temps en raison de la confusion et du stress émotionnel provoqués par cette pandémie.
Préparez-vous au pire
La pandémie de coronavirus est une catastrophe mondiale qui ne ressemble à rien dans l'histoire récente. Il est donc déraisonnable de s'attendre à ce que vous preniez les meilleures décisions. Rester vigilant contre les escrocs nécessite une réflexion calme qui est rare à une époque de dévastation, de désinformation et de messages mitigés de la part des gouvernements. Soyez généreux envers vous-même lorsque vous faites des erreurs.
Il est important de supposer que vous ferez des erreurs, alors prenez des précautions contre ces erreurs. Tout d'abord, écoutez les messages d'avertissement. Votre navigateur et de nombreuses plates-formes de messagerie ont des protections anti-hameçonnage intégrées, et la plupart font un excellent travail. Si vous voyez une fenêtre d'avertissement indiquant qu'un site ou une pièce jointe est dangereux et que vous savez que l'avertissement est réel, tenez-en compte.
Sur votre ordinateur personnel, installez un logiciel antivirus et maintenez-le à jour. Nous avons passé en revue de nombreux produits valables pour les machines Windows et Mac. Il existe également des options gratuites. Même si vous êtes excellent pour repérer les dangers en ligne, le logiciel de sécurité est là en tant que sauvegarde. Il peut également faire un meilleur travail en arrêtant une nouvelle menace nouvelle avant qu'elle ne puisse causer des dommages.
De nombreuses activités d'escroquerie sont axées sur les prises de contrôle de compte. Vous pouvez vous protéger contre les pirates qui s'emparent de vos comptes en ligne en utilisant un mot de passe unique et complexe pour chaque site Web et service que vous utilisez. Si vous réutilisez des mots de passe sur différents sites, un site compromis peut signifier qu'un attaquant accède à tous les autres sites où vous avez réutilisé le mot de passe. Un gestionnaire de mots de passe peut générer et rejouer des mots de passe forts, vous soulageant ainsi. Je recommande également d'utiliser un gestionnaire de mots de passe qui synchronise vos connexions entre les appareils, bien que votre confiance dans le cloud puisse différer de la mienne.
Enfin, activez l'authentification à deux facteurs sur tout site ou service qui la propose. Cela permet des étapes supplémentaires dans le processus de connexion qui rendent infiniment plus difficile le piratage du compte, même lorsque le méchant a un nom d'utilisateur et un mot de passe valides. Vous pouvez opter pour une application gratuite qui vous servira d'authentificateur, de clé matérielle ou d'un autre schéma. Évitez l'authentification par SMS, mais cela suffira à la rigueur.
Au cours des deux derniers mois, nous avons tous appris de nouvelles compétences simples mais essentielles : comment fabriquer un masque à partir d'un vieux t-shirt, comment compter 20 secondes de lavage des mains et comment observer six pieds de distance sociale, pour en nommer quelques uns. Vous pouvez parer à un autre lot entier de menaces COVID-19 simplement en apprenant les compétences en sécurité numérique nécessaires pour repérer les escroqueries - des compétences qui vous seront également utiles après la pandémie.