Le NCSC capture 10 millions d’hameçons

Le National Cyber Security Centre du Royaume-Uni a reçu plus de 10,5 millions d’e-mails suspects via son service de signalement d’e-mails suspects (SERS) et a supprimé 76 000 escroqueries en ligne liées au NHS, aux livraisons en ligne, aux crypto-monnaies et plus encore, au cours des deux années où il a été actif.

Lancé le 21 avril 2020, alors que la première vague de la pandémie de Covid-19 atteignait son apogée, parallèlement à une recrudescence concomitante de la cybercriminalité, les Britanniques avertis en matière d’escroquerie ont rapidement pris le service à cœur, bombardant la boîte de réception des rapports du NCSC – [email protected] – avec un million d’emails rien que sur ses deux premiers mois. Il n’y a pas eu de relâchement depuis.

Cette augmentation soutenue de la cybercriminalité – les infractions enregistrées liées à l’accès non autorisé à des informations personnelles (y compris le piratage) ont augmenté de 161% en 2021 en Angleterre et au Pays de Galles – a incité aujourd’hui le gouvernement à lancer une nouvelle campagne dans les publicités diffusées, en ligne et sur les panneaux d’affichage pour faire connaître au grand public des conseils de cybersécurité exploitables.

« La réponse du public britannique à notre service de signalement d’e-mails suspects a été incroyable et a conduit à la suppression de milliers d’escroqueries en ligne », a déclaré Lindy Cameron, PDG du NCSC.

« Mais nous pouvons faire encore plus et en suivant nos étapes Cyber Aware pour sécuriser les comptes en ligne, en commençant par le courrier électronique, les gens réduiront considérablement les risques, y compris les pertes financières et les violations de données personnelles.

« Nous avons tous un rôle à jouer dans notre cybersécurité collective et j’exhorte tout le monde à suivre nos conseils Cyber Aware pour rendre la vie encore plus difficile aux escrocs. »

Steve Barclay, chancelier du duché de Lancaster, a ajouté: « Les escroqueries en ligne et les fausses publicités nous ciblent tous et nous sommes déterminés à les éradiquer.

« Tout le monde peut contribuer à la cybersécurité du pays en étant vigilant, en signalant les communications suspectes et en utilisant des méthodes sécurisées pour protéger les comptes.

« J’exhorte tout le monde à consulter le site Web du NCSC, qui contient d’excellents conseils sur la façon de vous protéger en ligne, notamment en permettant la vérification en deux étapes et en utilisant des mots de passe avec trois mots aléatoires. »

La campagne s’appuie sur les propres conseils Cyber Aware du NCSC, recommandant des mesures simples que tout le monde peut prendre, telles que la définition de mots de passe composés de trois mots aléatoires, une technique qu’il a commencé à préconiser il y a quelque temps, et dit qu’il a trouvé un moyen extrêmement efficace d’encourager les gens à définir des mots de passe qui sont, de manière critique, mémorables pour eux.

C’est parce que l’esprit humain a du mal à se souvenir de chaînes de caractères aléatoires ou de motifs véritablement sécurisés de caractères spéciaux, de lettres majuscules, etc. Par conséquent, pour respecter les politiques de mot de passe de la plupart des organisations, nous aurons tendance à définir des mots de passe qui ne sont pas du tout complexes.

Par exemple, Jane Smith de Bristol, née le 5 janvier 1992, pourrait définir un mot de passe qui remplace le E, le S et le I dans son nom par 3, 5 et 1, puis ajouter sa ville natale et son anniversaire à la fin. Le mot de passe qui en résulte, Jan35m1th050192Bristol, peut sembler long et compliqué, et satisfera la plupart des services en ligne, mais il ne présente aucun défi pour un cybercriminel déterminé.

En enchaînant trois mots choisis au hasard, par exemple, « doit », « degré » et « décider », la théorie veut que Jane Smith puisse créer un mot de passe unique suffisamment fort pour satisfaire la plupart des politiques, plus facile à retenir et manquant de conventions facilement devinables, telles que l’échange de lettres contre des nombres similaires, ou l’ajout d’un ! jusqu’au bout.

Le NCSC a déclaré que le principal problème avec l’application des exigences de complexité des mots de passe est qu’il est difficile pour les utilisateurs de générer, de mémoriser et d’entrer leurs mots de passe avec précision sans avoir besoin d’utiliser l’application de gestion de mots de passe, ou de rechercher le bloc-notes où ils les ont écrits, ce qui encourage les gens à les réutiliser – un grand non-non dans le cybermonde. « La puissance de trois mots aléatoires réside dans sa facilité d’utilisation, car la sécurité qui n’est pas utilisable ne fonctionne pas », a-t-il déclaré.

La campagne encourage également les utilisateurs à activer l’authentification à deux facteurs, également connue sous le nom d’authentification multifacteur (2FA / MFA), dans la mesure du possible, de sorte que lorsqu’un utilisateur tente de se connecter à un compte en ligne, il devra confirmer son identité non seulement en entrant le mot de passe, mais en répondant à un deuxième défi, tel qu’un code envoyé à son appareil par SMS.

Cela rend plus difficile pour le cybercriminel moyen d’accéder au compte d’un utilisateur, car même s’il a obtenu le mot de passe de la cible quelque part – ou l’a deviné parce que le mot de passe était une ordure – il est moins susceptible d’avoir accès à l’appareil de la cible.