Une campagne de phishing par SMS usurpant Île-de-France Mobilités est en cours depuis le mois d’octobre 2023. Ces faux SMS d’alerte ont pour émetteur « NAVIGO » (le pass des transports franciliens) et invitent les usagers à profiter d’un remboursement de 37,10 euros. Une campagne d’Île-de-France Mobilités, l’établissement en charge des métros, trains et bus dans la région, en avril, permettait de récupérer 37,60 euros suite à des retards récurrents. Un lien est intégré et renvoie vers un site clone du service des transports.
La plateforme frauduleuse demande plusieurs informations à l’usager avant de l’inviter à rentrer ses données bancaires, qui seront bien évidemment envoyées aux hackers. Nous avons répertorié quatre sites clones d’Île-de-France Mobilités au cours du mois d’octobre. L’un d’eux est toujours en ligne ce 24 octobre et utilise une protection anti-bot du service Cloudflare pour éviter d’être repéré par des dispositifs de sécurité.
Si ce dispositif d’hameçonnage est assez classique, nous avons cherché à comprendre pourquoi le SMS d’arnaque affichait « NAVIGO » comme émetteur, un procédé qui donne plus de légitimité à cette escroquerie.
Des campagnes de marketing sans contrôle d’identité
L’un des SMS reçu par notre équipe contenait un numéro générique pour mettre un terme à la réception de ces messages. Cette option est généralement proposée pour bloquer la réception de SMS publicitaire. En remontant le message, on tombe sur High Connexion, une entreprise française à la fois opérateur et agrégateur de contenus pour des campagnes marketing. Numerama a contacté cette société, l’interrogeant sur les liens avec cette vague de phishing.
High Connexion se définit comme « un tuyau de communication » entre un premier agrégateur et les grands opérateurs téléphoniques (Orange, SFR, Bouygues). Elle nous explique qu’elle se charge de transmettre des campagnes de marketing par SMS aux principaux groupes de Télécom.
Les cybercriminels se sont tournés vers un premier agrégateur, peu regardant, basé à l’étranger pour promouvoir leur message de phishing. Ils commandent une campagne de « marketing », contenant le lien frauduleux et se faisant passer pour Navigo. Les pirates fournissent une liste de numéros à l’agrégateur, probablement récupérée depuis des fuites de données.
Cette société étrangère passe par les solutions techniques de High Connexion pour distribuer la campagne aux opérateurs français. High Connexion refuse de nous donner le nom de ce client qui demande à mettre en avant le SMS en avant sur le sol français. Une simple déclaration sur parole suffit aux cybercriminels pour affirmer qu’il s’agit bien de « NAVIGO ».
Orange, SFR, Bouygues et Free, reçoivent cette campagne et finissent par envoyer des milliers de SMS avec comme émetteur « NAVIGO », sans qu’aucun membre de la chaîne ne contrôle concrètement s’il s’agit bien de l’établissement des transports parisiens.
Un numéro pour signaler les SMS
Contacté par Numerama, l’af2m, un regroupement de tous les opérateurs français, nous explique que l’OADC – abréviation pour distinguer les messages avec le nom de l’entreprise en émetteur – « NAVIGO » a débuté le 14 septembre. « Ce cas de smishing (usurpation d’identité par SMS) devrait être traitée dans les jours à venir » nous assure le porte-parole de l’association. Il rappelle que les numéros frauduleux peuvent en être signalés au 33700.
« Les OADC jugés potentiellement sensibles sont soumis à un système de blacklistage et de whitelistage, depuis presque 10 mois », précise l’af2m. « Le smishing représente 0,5 % des numéros signalisés. Même si ce nombre est relativement faible, l’af2m et ses membres travaillent à réduire au maximum les risques de smishing, tout en étant conscient que le risque zéro, hélas, n’existe pas », ajoute le porte-parole. Par ailleurs, le manque de signalement ne signifie pas qu’il n’y a pas de victimes.
Alexandre Archambault, avocat spécialiste dans le droit du numérique, nous indique que « les opérateurs peuvent intervenir uniquement sur notification au 33700 pour bloquer un message. Ils n’ont aucune obligation de contrôle du contenu ou de l’émetteur. Les cybercriminels passent également par l’étranger et des agrégateurs pour éviter des dispositifs de contrôles techniques. »
Il ne reste au grand public que la prudence et le signalement pour éviter de tomber dans le panneau. Par exemple, rappelez-vous qu’Île-de-France Mobilités signalera sûrement plutôt sur son site qu’une campagne de remboursement est en cours, et non par un SMS se terminant par joyeux « profitez-en ! ».
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
