Une erreur dans le texte ?

Attention à ce faux SMS des impôts, c'est une arnaque

À peine la déclaration d'impôt sur le revenu est-elle terminée que les hackers s'en prennent à votre compte. Une campagne de phishing est en cours, fin juin 2023, signalant par SMS que « votre compte fait l'objet d'une vérification », avec un lien pour s'identifier dans le message.

Une fois que vous avez cliqué sur l'URL, vous accédez à un site clone de www.impots.gouv.fr. La page est parfaitement recopiée et vous alerte sur une prétendue intrusion sur votre profil. La plateforme demande d'entrer votre numéro fiscal, ainsi qu'un mot de passe. 

Après avoir tapé toutes vos infos, le site indique simplement (avec des fautes d'orthographe) : « Merci pour votre authentification. L’accès à votre compte a bien étais restauré, vous pouvez des à présent vous connecter à votre espace personnel. »

Les signes révélateurs de l'entourloupe

Un premier indice doit déjà vous mettre la puce à l'oreille : le numéro de téléphone. Le ministère des Finances ne vous contactera jamais avec un numéro commençant par « + 33 », « 06 » ou « 07 ». Si vous recevez un tel message d'alerte, rendez-vous dans votre boite mail et sur votre compte personnel, normalement l'administration vous alerte par notification en cas de souci. 

Une fois sur le site, jetez un œil au nom de domaine. Les cybercriminels ont déposé le nom « www.service-impot-gouv-info.com » pour rendre le leurre plus légitime. Le seul site viable pour consulter sa fiche d'impôt est : www.impots.gouv.fr

Le site clone n'est d'ailleurs qu'une page d'authentification entièrement copiée. Elle ne donne accès à aucun autre service et reste « figée ». Vous pouvez cliquer sur tous les autres onglets ou même le logo pour revenir à l'accueil, il ne se passera rien. Seules les zones de texte pour entrer ses données sont actives. 

Un site d'arnaque protégé

La plage clonée par les cybercriminels a été particulièrement travaillée pour éviter qu'elle soit repérée par les antivirus et les filtres anti-spam. « Boromir », un expert en cybersécurité a analysé le site pour Numerama et indique que le nom de domaine a été créé le 24 juin dernier auprès de la société Hostinger.

La plateforme est hébergée en Roumanie chez M247, une entreprise peu regardante quant à l'activité du client. L'expert en cyber nous signale que plusieurs autres sites malveillants, notamment « des copies de Netflix, Chronopost, Royalbank, DHL, des arnaques au casino » sont hébergées sur le même réseau.

Notre clone des impôts « dispose également d'une protection anti robots/VPN pour éviter d'être détecté par les solutions anti phishing ». Concrètement, il va tenter de bloquer des agents avec un titre Google ou Avast. Néanmoins, le faux site d'impôts a fini par être détecté, car le navigateur Chrome le considère comme « malveillant » désormais.

Les pirates vont probablement recréer un nouveau site, si ce n'est pas déjà fait. L'accès au numéro fiscal sert d'abord à la revente de données, une fiche d'impôt contenant de nombreuses informations surprises. Les cybercriminels peuvent également tenter de créer de faux comptes une fois vos identifiants en main ou tout simplement de réutiliser le mot de passe que vous avez fourni pour se connecter. 

Enfin, si vous êtes tombé dans le piège (ce qui arrive), contactez au plus vite le service des impôts sur cette page, et changez votre mot de passe depuis votre compte.