Tous les salariés de France bénéficient de droits qui permettent à leur employeur de financer partiellement voire totalement leur formation, si tant est que cette dernière soit agréée pour être payée sur ces fonds. Le gouvernement a transcrit ces droits (DIF puis maintenant CPF) en euros plutôt qu'en heures, sans vraiment penser que ces petites sommes pouvaient allécher les escrocs. Mais, cumulées, ces quelques centaines d'euros par personne peuvent devenir un paratonnerre à pirates...
Une avalanche de mails proposant des offres alléchantes ("l'État paie votre formation" ou "formation gratuite") s'abat sur nos boîtes personnelles ou professionnelles. Le pirate cherche là à pêcher vos identifiants à votre compte personnel de formation en ligne (phishing) ou vous en créer un si vous ne l'avez pas encore fait. Puis il vous inscrira à votre insu à une formation-bidon mais agréée et siphonnera votre compte très officiellement et tranquillement. Le temps que l'État s'aperçoivent que l'organisme de formation est un repaire de pirates, l'argent aura été encaissé depuis des mois. Quant à la victime, elle ne s'apercevra que son compte est vide que si et lorsque qu'elle demandera une formation : ça peut se produire dans des mois voire des années.
A l’approche de la date limite (30 juin) pour convertir ses heures de formation comptabilisées en DIF (Droit Individuel Formation), des pirates informatiques surfent sur l'engouement autour des Comptes Personnels de Formation (CPF, en euros) et envoient des mails, messages et SMS de phishing afin de voler le solde des comptes CPF de leurs victimes.
Par exemple :...
Le phishing fonctionne beaucoup sur la manipulation psychologique des victimes potentielles dans le but d'obtenir leurs informations personnelles pour les escroquer. Par exemple, les arnaqueurs vont vous inciter à agir vite en prétendant que vos droits sont sur le point d'expirer. Avast, l’un des leaders mondiaux de la cybersécurité, a reçu de nombreuses alertes de la part de la communauté en lien avec les comptes CPF sur son adresse dédiée au signalement des cyber attaques : signalement@avast.com. Il s'agit donc de rester prudent face à ce phénomène.
Si les solutions antivirus protègent contre les logiciels malveillants, les rançongiciels et les tentatives d'hameçonnage, il reste tout de même important de se tenir informé des nouvelles menaces et des moyens de les éviter.
Voici quelques conseils pour se protéger :
· Vérifiez l'adresse de l'expéditeur, pour voir si elle correspond aux messages que vous recevez normalement de cette société.
· Ne cliquez jamais sur les liens de prime abord : vérifiez absolument que l'adresse du site est correcte. Petite astuce : vous pouvez survoler le lien avec votre souris (sans cliquer) et voir apparaître le vrai lien de redirection en bas à gauche de votre écran. Si vous avez un doute, ne cliquez pas
· N'envoyez jamais d'informations personnelles depuis un mail, un message sur les réseaux sociaux ou un SMS
· N'entrez pas vos identifiants de connexion ou autres informations personnelles sur un site si vous avez un doute ; petite astuce : si vous entrez n'importe quel élément dans les champs de connexion, vous pourrez voir comment réagit le site. Le site légitime ne se satisfera pas de vos informations erronées tandis que le site frauduleux prendra toutes les informations que vous lui donnez.
· En plus de faire attention aux adresses e-mail, aux liens et aux URL, d'autres éléments peuvent vous mettre la puce à l'oreille : des fautes d'orthographe, une pièce jointe peu convaincante, pas de signature, l'objet, le style du mail, des offres vous faisant croire que vous avez gagné quelque chose, des éléments de langage vous incitant à agir vite, etc.
C.R. (via agence)