Voici un indice pour les fraudeurs financiers Internet potentiels: ne ciblez pas les bibliothécaires. Ils se rattraperont rapidement et vous aurez perdu votre temps.
Hier, l’ancienne présidente sortante du comité des prix Alex de la Young Adult Library Services Association (et ma femme) Paula Gallagher a reçu un courriel très étrange qui prétendait provenir d’un collègue de son système de bibliothèque qui est membre du conseil d’administration de YALSA. L’e-mail demandait: «Êtes-vous disponible pour effectuer une mission au nom du conseil d’administration, et être remboursé? Veuillez le conseiller.»
Il y avait quelques petites choses à propos de l’e-mail. Tout d’abord, alors que la première moitié de l’adresse e-mail d’où provenait le message correspondait à l’adresse e-mail de son collègue, le nom de domaine était très phishy: Reagan.com, un site qui propose des « e-mails privés sécurisés » aux utilisateurs qui le souhaitent. « garder en vie l’héritage du président Ronald Reagan. » Le soi-disant expéditeur du message n’était, pour le dire avec modération, pas un grand fan de l’héritage du président Reagan. (Ars a tenté de contacter les opérateurs du site Reagan.com pour obtenir des commentaires, mais ils sont très soucieux de la confidentialité.)
Il y avait d’autres récits. L’e-mail est parvenu à la boîte aux lettres personnelle que ma femme avait spécialement configurée pour ses travaux de comité (qui avait été publiée sur le site Web de YALSA) et non à l’adresse électronique de sa bibliothèque interne. Et la grammaire et la capitalisation – ainsi que le ton du courriel – ne correspondaient pas à celles de son collègue. De plus, elle est mariée avec moi, donc elle peut sentir un phishing à un kilomètre et demi.
Elle a ignoré le message jusqu’à ce qu’un autre membre du comité lui tende la main après avoir répondu à un message identique. La « cession » s’est avérée être une arnaque de paiement de manuels scolaires, et elle est venue d’une nouvelle adresse e-mail— « presidentnewboxmailme [at]gmail.com « :
Souhaitez-vous aider à payer un marchand et être remboursé par [name of the board’s financial chair]? [He] pas disponible aujourd’hui pour des raisons de santé, mais a promis un remboursement rapide avant vendredi. C’est impératif et c’est 6 980 $. J’ai pu envoyer 4000 $ de ma limite d’épargne quotidienne. Revenez à moi si vous pouvez envoyer les 2 980 $ restants via Zelle & CashApp. Cela concerne notre Symposium 2020 des services pour jeunes adultes de YALSA.
Sachant que Paula a travaillé avec le prétendu expéditeur du message, le destinataire lui a transmis le message et lui a demandé: « Cela semble sommaire … a-t-il été piraté? » Bientôt, d’autres ont sonné dans une conversation de groupe qu’ils avaient reçu des messages suspects similaires.
Personne n’est tombé amoureux du phishing.
Prenez l’argent et courez
Zelle, CashApp et d’autres applications de paiement peer-to-peer sont devenues une nouvelle plate-forme préférée pour les escroqueries financières. Contrairement aux paiements par carte de crédit, la prévention de la fraude sur ces plates-formes de paiement est peu efficace, c’est comme de l’argent. Une fois le paiement effectué, il n’y a pas de véritable moyen de les dérouler.
Cette attaque – ciblant les membres d’une association à but non lucratif – n’est que la dernière ride de cette tendance, empruntant la tactique, sinon la précision, d’attaques ciblées à grande échelle contre des sociétés. Les attaques de « chasse à la baleine » et les opérations de « spear-phishing » similaires ciblent des cadres ou des gestionnaires de haut niveau, utilisant des messages urgents pour tromper les personnes ayant accès aux fonds de la société en effectuant des virements électroniques à un « fournisseur » en raison d’une question urgente ou pour divulguer des informations ( tels que les employés W-2) qui peuvent être utilisés pour d’autres fraudes financières.
Les entreprises ont de plus en plus pris le pas sur les escroqueries, grâce à une combinaison de formation, d’un meilleur filtrage du courrier et de contrôles des systèmes financiers. Mais les associations et autres organisations à but non lucratif – qui peuvent avoir à la fois un peu moins d’argent et un peu moins de moyens informatiques centralisés – sont désormais apparemment ciblées en raison de leur nature. Ils ont des sites Web très publics dans le cadre de leur mission, remplis avec les noms et adresses e-mail de personnes désireuses de faire beaucoup de choses pour la mission de l’organisation, y compris atteindre leurs propres portefeuilles.
Étant donné la quantité de données disponibles sur les contacts des personnes grâce aux sites Web organisationnels, tels que LinkedIn, Facebook et d’autres sources Internet publiques, ces types d’escroqueries sont susceptibles de gagner en popularité comme les autres (comme les escroqueries romantiques qui a coûté aux victimes plus de 200 millions de dollars en 2019, selon la Federal Trade Commission) perdent leur efficacité. Jusqu’à ce que Zelle, CashApp et d’autres fournisseurs de paiement peer-to-peer offrent un moyen d’aider à repérer les comptes frauduleux, ils continueront d’être une cible populaire.
Si vous avez besoin de plus de conseils pour repérer ces types d’escroqueries … demandez simplement à un bibliothécaire.