Depuis plus d’un an, Cyberguerre scrute les campagnes de phishings qui visent les Français et Françaises. Leurs objectifs, le plus souvent : voler vos données personnelles et vos informations bancaires. Certains phishings surfent sur l’actualité et disparaissent quelques semaines plus tard, devenus rapidement désuets. Mais d’autres persistent, ne laissant qu’à peine quelques semaines de trêve avant de revenir à la charge. Un phishing usurpant l’identité des impôts, par exemple, revient presque chaque année depuis 10 ans, au moment des déclarations d’impôts. Et il fait à chaque fois de nouvelles victimes.

La formulation de ces messages frauduleux récurrents varie de quelques mots et chiffres à chaque vague. Les malfrats, selon leurs compétences, utilisent de nouveaux sites, pages, et chemins de redirection pour piéger leurs victimes. Mais ils tirent sur les mêmes ficelles, et répètent les mêmes schémas d’arnaque.

radiohead.jpg

Quelques clics de trop, et vous pouvez avoir une mauvaise surprise. // Source : Louise Audry pour Numerama

S’il existe tout un éventail d’outils pour se débarrasser d’une campagne de phishing en particulier, il est plus difficile de faire face à un « thème » récurrent sans risquer de bloquer le bon fonctionnement de services légitimes. La meilleure arme pour les contrer reste donc la prévention, auprès du plus grand nombre de personnes possible. Si vous tombez un jour sur un des scénarii décrits dans cet article, vous pouvez vous en assurer : il s’agit d’un phishing. Pour les autres cas, il suffit, le plus souvent, d’appliquer quelques principes accessibles à toutes et tous.

L’Assurance maladie vous doit un remboursement ? Ameli ne vous enverra pas un SMS

  • Pourquoi ce phishing revient-il tout le temps ?

Sur ses réseaux sociaux, l’Assurance Maladie matraque son message de prévention : « l’assurance maladie ne vous informera jamais d’un remboursement par SMS. Le canal de contact privilégié est la messagerie de votre compte ameli. » L’institution est une cible de choix : l’écrasante majorité des Français dépend d’elle et en plus, elle offre un parfait prétexte pour aborder la question financière avec son activité de remboursements de soin.

De quoi prémâcher le travail des malfrats : s’ils envoient un phishing imitant Ameli à des numéros de téléphone français, ils sont assurés de toucher leur cible : le destinataire sera forcément concerné par le message. Ils n’ont donc pas besoin de trier leurs futures victimes en amont, et peuvent faire des envois de masse avec de grandes chances de réussite.

  • Quel scénario utilisent les malfrats ? 

L’arnaque fait miroiter aux victimes un remboursement de plusieurs centaines d’euros, qui ne demande qu’à être validé. L’appât d’un gain facile, la peur d’une perte d’argent ou la simple curiosité poussent les cibles à cliquer. Elles se dirigent alors vers un site qui n’est pas celui de l’Assurance maladie, « ameli.fr », bien qu’il en reprend les couleurs. Le plus souvent, la page va afficher un formulaire en deux temps : la première partie demande de renseigner les données personnelles ; la seconde requiert de remplir ses informations de carte bancaire. Le tout, bien sûr, dans l’objectif affiché d’effectuer un remboursement. Sauf qu’en réalité, ces données iront directement sur les serveurs des malfaiteurs, qui pourront les revendre ou les exploiter à leur propre compte.

Pour aller plus loin
Phishing-2
Nous avons cliqué sur l'arnaque au remboursement d'Ameli
  • Dernier exemple en date :
ubisoft logo.jpg

Voici une des variantes de l’arnaque au remboursement Ameli. // Source : Twitter @jlecoc6

Voici une variante de cette arnaque qui circulait encore en janvier 2021 : « Compte Ameli : après la dernière vérification de votre dossier d’assurance maladie, nous avons déterminé que vous recevrez un remboursement de 891,67 euros. Veuillez remplir votre formulaire de remboursement et confirmez-le via le lien ci-dessous  ». Le lien contient le mot « ameli » mais le site « ameli-rbm[.]com » n’est pas le site officiel d’ameli, « ameli.fr ». C’est une copie, destinée à récupérer les informations des destinataires du message.

Pour annuler une commande Darty, Fnac ou Cdiscount, vous n’aurez jamais à donner vos informations bancaires

  • Pourquoi ce message revient-il tout le temps ?

Qui, en France, ne connaît pas Darty, la Fnac ou Cdiscount, trois des plus grosses plateformes d’e-commerce françaises ? Voilà le raisonnement des malfrats. Ses cibles connaîtront le nom de la plateforme, et elles y ont probablement déjà un compte. Elles seront donc étonnées de trouver sur leur boîte email ou par SMS un message au sujet d’une commande dont elles ne se rappellent pas.

Autrement dit, le message frauduleux est indémodable, tant que les plateformes usurpées gardent leur niveau de popularité. Bonus pour les malfaiteurs depuis l’année 2020 : la situation sanitaire a favorisé l’e-commerce et la livraison de colis. Les Français et Françaises seront donc plus attentifs aux messages relatifs à leurs commandes.

  • Quel scénario utilisent les malfrats ? 

Vous recevez un message prétendument envoyé par l’e-commerçant — Darty, Fnac ou Cdiscount —, qui reprend le plus souvent sa charte graphique officielle. C’est en apparence une confirmation de commande, pour un produit cher : un smartphone, un écran ou un ordinateur, chiffré à plusieurs centaines d’euros. Problème : vous ne vous rappelez pas avoir passé cette commande. D’ailleurs, en y regardant de plus près, vous pouvez voir que si vos coordonnées sont bien sur l’adresse de facturation, les coordonnées d’une autre personne sont sur l’adresse de livraison !

Heureusement, l’email vous donne l’opportunité d’annuler cette prétendue commande frauduleuse,  mais il faut faire vite. Les malfaiteurs pressent les victimes à cliquer sur leur lien qui, malgré les apparences, ne renvoie pas vers le site officiel de l’e-commerçant. À la place, il redirige vers une page aux couleurs de la plateforme imitée, qui demandera au visiteur de remplir un formulaire avec ses données personnelles et ses informations bancaires. Dans le but, affiché d’annuler la commande.

Sauf que la commande d’origine n’existe pas, et qu’il n’y a donc aucun besoin de l’annuler. Toutes les données entrées dans les formulaires seront récupérées par les malfaiteurs, qui pourront les exploiter ou les revendre.

Pour aller plus loin
Une boutique Darty. // Source : alainalele
Nous avons cliqué sur l'arnaque version Darty...

… version Cdiscount

… et version Fnac

  • Dernier exemple en date : 
Image d'erreur

En janvier, Darty a dû faire face à une campagne de phishing massive. // Source : Twitter Yvan_111

En janvier 2021, le volume de messages d’une campagne de phishing à l’annulation de commande était tel que Darty a contacté tous ces clients sur le sujet. Mais contrairement à de précédentes vagues, elle ne reprenait pas la charte graphique du groupe. On pourrait donc la considérer comme moins convaincante.

« Droit de douane », « affranchissement » : non, vous n’avez pas besoin de payer plus pour votre livraison

  • Pourquoi ce phishing revient tout le temps ? 

Ce phishing est imparable : déjà, parce que les Français se font livrer de nombreux colis. Ensuite parce que même si une personne n’a pas commandé un colis, elle peut tout de même se dire qu’une autre personne lui en a envoyé un, sans lui indiquer auparavant. Elle serait donc intriguée par le contenu du colis, et tentée de mordre au phishing. La livraison de colis concerne donc tout le monde, tout au long de l’année. Mieux, certaines périodes, comme celle des fêtes des fins d’années, renforcent l’arnaque.

Ici aussi, la situation sanitaire favorise la crédibilité scénario, puisque les personnes reçoivent plus de colis.

  • Quel scénario utilisent les malfrats ?

Vous recevez un SMS pour vous avertir que votre colis est bloqué à la douane. Heureusement, il vous indique qu’il suffit de payer une petite somme d’affranchissement — entre 2 et 5€ — pour débloquer l’envoi du colis. Chronopost, Colissimo, UPS, FedEx, tous les transporteurs sont imités par les malfaiteurs, tour à tour.

Le lien du SMS renvoie vers un site qui reprend la charte graphique de l’entreprise de livraison. Les phishings les plus poussés vont même jusqu’à utiliser un numéro de colis existant pour renforcer la crédibilité de l’histoire. L’objectif : vous faire remplir un formulaire de facturation, puis un formulaire de paiement. Sauf qu’au lieu d’être débité de 2€, vous pourriez être facturé d’un montant bien plus important, les malfrats ayant mis la main sur vos données bancaires. Et en plus, aucun colis n’était bloqué, vous ne recevrez donc rien du tout.

Ce phishing a fait l’objet d’une rumeur étrangement populaire : les malfaiteurs l’utiliseraient pour récupérer vos données GPS et vous kidnapper. Cette rumeur est fausse. 

Pour aller plus loin
Un homme « déguisé » en hacker // Source : Clint Patterson via Unsplash
Nous avons cliqué sur l'arnaque au droit de douane à 2€

… « Nous avons essayé de livrer votre colis », version UPS du phishing

… « Aucun affranchissement », l’alternative au « droit de douane »

  • Dernier exemple en date : 
sghe830.jpg

Parfois, les malfrats utilisent le nom d’une entreprise, parfois ils se contentent du scénario de l’arnaque.

Voici un exemple d’une campagne de phishing par SMS qui circulait en janvier 2021. Le message évoque des « frais de douane impayés », et renvoie vers un lien bit[.]do. Ce raccourcisseur de lien permet, dans ce cas, de dissimuler le nom de la page de destination du phishing, peu crédible : deliverycf[.]sendtocollectionpoint[.]club. Le site imite le transporteur UPS avec un nom et logo proche.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.