Le FBI a lancé une nouvelle mise en garde cette fois-ci contre les cybercriminels qui ciblent les cabinets de chirurgie esthétique, les chirurgiens et les patients afin de collecter des informations personnelles identifiables et des dossiers médicaux sensibles, y compris des photographies dans certains cas. Une fois réussi, les cybercriminels utilisent des techniques d’ingénierie sociale pour améliorer les données collectées et extorquer des individus.
Une attaque en 3 phases
Comme présenté par le FBI, la cyberattaque se déroule habituellement en 3 phases typiques
- Phase 1 – Collecte de données >> En utilisant des technologies pour masquer leurs numéros de téléphone et leurs adresses e-mail (« spoofing »), les cybercriminels utilisent le phishing pour diffuser des logiciels malveillants dans les cabinets de chirurgie esthétique. Une fois réussi, les cybercriminels collectent des informations sensibles et des photographies.
- Phase 2 – Amélioration des données >> Les cybercriminels utilisent des informations disponibles publiquement, y compris les réseaux sociaux, ainsi que des techniques d’ingénierie sociale pour améliorer les données collectées auprès des patients des cabinets de chirurgie esthétique. Les cybercriminels utilisent ces données améliorées comme moyen de pression pour l’extorsion à la phase 3 et peuvent également les utiliser dans d’autres escroqueries.
- Phase 3 – Extorsion >> Les cybercriminels contactent les chirurgiens esthétiques et leurs patients via les comptes de médias sociaux, les e-mails, les messages texte ou les applications de messagerie et demandent un paiement pour éviter de partager leurs données de santé. Pour exercer une pression sur les victimes en vue du paiement de l’extorsion, les cybercriminels n’hésite par ailleurs pas à partager les données sensibles avec les amis, la famille ou les collègues des victimes, et créent des sites web publics contenant ces données. Les cybercriminels indiquent aux victimes qu’ils retireront et cesseront de partager leurs données seulement si un paiement d’extorsion est effectué.