« Le 26 mars 2020, le gouvernement a décidé de prendre des mesures complémentaires pour compenser à 95% la perte de revenu chez les foyers éligibles » introduit la page, avant de demander aux victimes de fournir nom, prénom, adresse et carte de crédit « pour vérifier votre identité ». Ce site, sur lequel des victimes espéraient obtenir une aide financière après un prétendu email du gouvernement, avait pour finalité d’aspirer leurs données, bancaires et personnelles.
Ce cas français n’est pas isolé : depuis janvier 2020, l’entreprise Proofpoint a identifié plus d’une centaine de campagnes de phishing du même genre, et a fait son bilan dans un billet de blog. Les pirates se sont fait passer pour l’Organisation mondiale de la santé, pour des ONG, ou encore pour les gouvernements britanniques et canadiens.
Tous ces abus d’identité ont un objectif commun : faire miroiter une aide financière censée aider les victimes — des entreprises ou des particuliers — à traverser la crise sanitaire et économique. Les hackers ont profité de véritables annonces gouvernementales de soutien à l’économie pour construire leurs scénarios afin de récupérer de l’argent et des données.
Les malfaiteurs se font passer pour le gouvernement français
Comme tous les exemples présentés dans l’étude, le faux message du gouvernement français s’avère relativement convaincant, car il copie correctement les codes et la charte graphique des messages de l’administration, de sorte qu’un œil peu attentif puisse facilement se faire berner.
Mais en y regardant de plus près, si le bleu utilisé pour le logo gouvernemental est le bon, le gouvernement utilise pour la bannière de son site un bleu plus clair que celui de la fausse page.
Sans aller à ce niveau de détail, des signaux d’alerte plus évidents peuvent être détectés. D’abord, le site était hébergé à l’adresse covid19-info[.]net, alors que l’adresse officielle du gouvernement est gouvernement[.]fr. Ensuite, le gouvernement, ou toute organisation de l’administration ne demandera jamais aux citoyens d’entrer leur carte bancaire en tant que justificatif d’identité.
Les victimes sont identifiées comme des prospects pour les hackers
« Les opérateurs de l’arnaque ont été malins. Puisque les personnes sont habituées à ce que les enveloppes d’aides soient plutôt transférées par RIB, ils expliquent dans leur scénario que le RIB sera demandé aux victimes si elles sont éligibles. Mais bien sûr, jamais ils ne le demanderont et ils exploiteront les données de la carte bancaire », élabore Loïc Guézo, directeur stratégie de Proofpoint en France.
Le formulaire destiné à voler les données bancaires requiert également d’entrer plusieurs données personnelles : un moyen pour les pirates de s’assurer de pouvoir exploiter les données bancaires. Mais ce n’est pas tout : ces données peuvent également se monnayer sur les marchés noirs. « Quand ils savent qu’une personne a donné ces informations dans un premier phishing, ils l’identifient comme une personne avec un faible niveau de maturité quant aux risques cyber. La personne devient alors un prospect intéressant, dont les données peuvent être revendues pour qu’elle soit la cible d’une autre campagne », constate le dirigeant.
Différents emails vers une même page frauduleuse
Il est probable que cette page frauduleuse ait été alimentée par différents emails de phishing. En changeant de format et de contenu régulièrement, les arnaques peuvent passer sous les radars basiques de détection, qui se déclenchent après avoir repéré un certain nombre d’emails identiques. De même, si certains emails d’hameçonnage ont utilisé un lien direct vers le site frauduleux, d’autres ont mis en place un système de redirections à partir d’autres adresses, afin que les protections automatiques n’identifient pas le lien exact.
Pic d’arnaques à l’aide financière en mars
Les cybercriminels adaptent en permanence leurs scénarios aux sujets les plus discutés du moment, et l’ampleur prise par Covid-19 les a menés à insister plus que d’habitude sur le sujet. Depuis le début de l’année, Proofpoint a identifié pas moins de 300 campagnes d’hameçonnage liées au coronavirus, dont la moitié jouait sur des scénarios d’aide financière. « L’effet d’opportunité se déclenche avec les annonces des mesures de soutiens par le gouvernement », remarque Loïc Guézo.
Début mars, ces scénarios atteignent un pic, et près de 80 nouvelles campagnes sont déployées en même temps, un peu partout dans le monde. Mais en avril, le sujet de l’aide financière s’essouffle. « Probablement une saturation des modèles de phishing liés au Covid-19 et une évolution vers d’autres thèmes », suggère Proofpoint
Si cette première vague d’arnaques financières semble passée, elles pourraient réapparaître en fonction de l’évolution de la pandémie, à chaque annonce gouvernementale.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !