Les escroqueries par phishing de marque HMRC se multiplient malgré les protections
4 min read
Le nombre de personnes officiellement déclarées HMRC-de marque Hameçonnage les escroqueries sont passées de 572 029 au cours de l’exercice 2019-2020 à 1 069 522 au cours de la période 2020-2021, soit une augmentation de 87 %, selon les statistiques obtenues par Sous-traitance Lanop, un cabinet comptable, en vertu de la loi sur la liberté d’information (FoI).
Les statistiques révèlent que la majorité des escroqueries traitées par HMRC concernaient des remises ou des remboursements d’impôts, qui ont augmenté de 90 % en 2020-1 par rapport à 2019-20, passant de 363 118 à 690 522. Une grande partie de cette augmentation sera attribuable aux criminels qui tentent de profiter de millions de personnes plongées dans l’insécurité financière pendant la pandémie de Covid-19.
Le directeur de Lanop, Aurangzaib Chawla, a déclaré: « Avec les entreprises sur une voie fragile vers la reprise après la crise de Covid-19, il est essentiel de rester vigilant sur les risques très réels posés par les escroqueries de marque HMRC. »
Les données révèlent également une augmentation de 66% des attaques par escroquerie vocale au cours de l’exercice écoulé, passant de 203 362 à 336 767. Les attaques liées à la DVLA – le HMRC reçoit également des rapports de telles attaques et est habilité à agir au nom de l’agence pour initier des suppressions de sites Web – ont augmenté de plus de six fois, passant de 5 549 à 42 233.
La méthode de livraison privilégiée pour les escroqueries exploitant HMRC était le courrier électronique. Les attaques provenant de cette méthode ont plus que doublé, passant de 301 170 à 630 193. Les signalements d’escroqueries présumées par SMS, ou smishing, ont augmenté de 52 %, passant de 67 497 à 102 562, et les signalements d’escroqueries par appel téléphonique ont augmenté de 66 %, passant de 203 362 à 336 767.
Andy Harcup, directeur principal de Gigamon, un fournisseur de services de surveillance de réseau, a déclaré : « La forte augmentation des attaques de phishing de marque HMRC présente des risques énormes pour les entreprises et les particuliers, de nombreuses organisations n’ayant pas les ressources nécessaires pour identifier et se protéger contre les pirates informatiques malveillants. Tout ce qu’il faut, c’est un seul employé pour transmettre involontairement des mots de passe confidentiels et des détails d’utilisateur et les cybercriminels sont libres d’entrer et de faire des ravages sur le réseau.
« Le fait est que les entreprises ne peuvent pas neutraliser ces attaques sans une visibilité totale sur le trafic réseau et sans une visibilité complète sur les menaces hostiles potentielles. L’époque où l’on permettait aux angles morts de sécurité de ne pas être contrôlés est révolue et une vue complète de ce qui se passe et quand devrait maintenant être la nouvelle norme en termes de protocole de sécurité », a-t-il déclaré.
Tim Sadler, PDG de tessien, qui se spécialise dans la sécurité des e-mails, a ajouté : « Se faire passer pour une organisation faisant autorité comme HMRC est un moyen éprouvé pour les cybercriminels de créer un sentiment d’urgence et de peur, de manipuler les gens pour qu’ils partagent des informations financières ou des informations d’identification via des escroqueries par phishing ou smishing. Et ils ont augmenté la mise, en particulier au cours des 12 derniers mois, dans l’espoir qu’en envoyant plus d’e-mails, plus de personnes pourraient tomber dans le piège de leurs stratagèmes.
« Malheureusement, repérer les escroqueries n’est pas toujours facile et les pirates informatiques les rendent encore plus difficiles à détecter. La règle générale est de ne jamais cliquer sur des liens dans des textes ou des e-mails inattendus, même si vous vous sentez sous pression. N’oubliez pas que vous pouvez toujours vérifier que la demande est réelle en appelant directement l’entreprise ou en vérifiant votre compte en ligne », a déclaré Sadler.
Plus tôt en juin, le HMRC a révélé avoir reçu plus d’un million de signalements de contacts suspects de la part de membres du grand public au cours de l’exercice 2020-21. Au cours de cette période, il a travaillé avec des fournisseurs de services Internet (FAI) pour supprimer plus de 15 700 pages Web malveillantes, et avec l’Ofcom et des fournisseurs de télécommunications pour supprimer plus de 3 000 numéros de téléphone malveillants.
En raison de son profil public important, HMRC est probablement la marque gouvernementale dont les criminels abusent le plus souvent pour ajouter de la crédibilité à leurs escroqueries. En conséquence, le département mène depuis longtemps des discussions et des projets sur les problèmes informatiques à Westminster, gérant sa propre unité d’opérations de cybersécurité pour identifier et arrêter les escrocs. Il a également été le premier à utiliser au sein du gouvernement des protections DMARC pour les e-mails et d’autres contrôles techniques pour empêcher que ses numéros d’assistance légitimes ne soient falsifiés. Néanmoins, les cybercriminels persistent.
Myrtle Lloyd, directrice générale du service client de HMRC, a déclaré : « Nous exhortons tous nos clients à faire très attention s’ils sont contactés à l’improviste par quelqu’un qui leur demande de l’argent ou des coordonnées bancaires.
«Il existe de nombreuses escroqueries où des fraudeurs appellent, envoient des SMS ou envoient des e-mails à des clients prétendant appartenir à HMRC. Si vous avez des doutes, nous vous suggérons de ne pas répondre directement et de nous contacter vous-même immédiatement. Rechercher sur Gov.uk pour notre « liste de contrôle des escroqueries » et pour découvrir « comment signaler les escroqueries fiscales ».
