Un remboursement de 490€ des impôts ? Attention à cet email de phishing
La saison des déclarations d'impôts vient toujours avec son lot de phishings, et les Français n'y échapperont pas en 2021.
« Après les derniers calculs de vos droits, nous vous annonçons que vous êtes admissible à recevoir un remboursement sur la carte enregistrée sur votre espace client », peut-on lire. Soit disant, Yannick serait en attente d'un remboursement de 490 euros de la part de la Direction générale des Finances publiques. L'email lui donne même un numéro de référence, GOUV-N°0038533-997, comme s'il avait commandé sur un service marchand.
D'après le message, les impôts ne l'auraient pas encore remboursé, car le code postal enregistré sur son espace particulier ne correspondrait pas à celui associé à son compte bancaire. Autrement dit, l'email propose à Yannick de l'argent facile : il n'a qu'à se connecter à son compte, changer son code postal, et il recevra 490 euros.
Tout est faux.
Des signaux d'alerte obstrués par l'appât du gain
Les malfrats tirent ici sur la ficelle du gain facile : elle vise à pousser la cible à ignorer certains signaux d'alerte, car elle voudra être sûre de ne pas manquer une opportunité en or. Et pourtant, ces signaux d'alerte sont nombreux :
Le message comporte quelques fautes de grammaire, qui peuvent cependant passer inaperçues à première lecture.
L'auteur du message utilise le mot « espace client » pour désigner l'espace particulier sur impots.gouv.fr. C'est un vocabulaire marchant que n'utiliserait pas un service public.
Le service des impôts ne connaît pas votre numéro de carte bancaire, et il n'est pas possible de l'enregistrer sur son espace personnel. Le scénario des malfrats ne tient donc pas la route, mais faut-il encore le savoir.
Si l'expéditeur s'affiche comme « Direction générale des Finances publiques », l'adresse qui y est associée, « [email protected] », n'est pas l'adresse officielle. En revanche, les auteurs du phishing maintiennent la confusion en indiquant une adresse légitime de la DGFIP, « [email protected] », en objet de l'email.
Les malfrats n'ont pour autant pas complètement raté leur message de phishing. Ils utilisent la même police que les emails du service des impôts, et ils renvoient vers les comptes officiels de la DGFIP sur les réseaux sociaux. Une personne qui lirait l'email en diagonale pourrait se faire piéger, d'autant plus que le lien de phishing est bien mis en avant sur les mots « Soumettre votre demande ».
Un faux site presque convaincant
En cliquant sur le lien, on aboutit sur une copie du site des impôts, qui nous propose soit de nous connecter à notre compte en indiquant email et mot de passe, soit de créer notre compte à partir de différents numéros fiscaux.
Si la charte graphique est respectée, l'adresse de la page révèle immédiatement la supercherie, pour peu qu'on s’y intéresse. Nous sommes sur « kydsjqt.cluster030.hosting.ovh[.]net », et non sur « cfspart.impots.gouv.fr », la page d'authentification officielle.
Après avoir entré email et mot de passe, nous sommes orientés vers une seconde page, plus soignée. On nous demande cette fois de remplir notre « formulaire de remboursement électronique » avec des informations personnelles (nom, prénom, date de naissance, adresse, numéro de téléphone) d'une part, et nos coordonnées bancaires d'autre part. Une fois ces informations indiquées, le site nous demande d'indiquer un code supplémentaire que nous aurions reçu par téléphone.
Bien sûr, toutes les informations que nous avons données atterrissent sur les serveurs des malfrats, et nous ne recevrons aucun remboursement.
Que faire si j'ai mordu au phishing ?
Si vous avez juste cliqué sur le lien, vous n'avez rien à craindre.
Si vous avez donné vos identifiants de connexion, changez-les le plus rapidement possible.
Si vous avez donné vos informations de carte bancaire, faites opposition au plus vite sur votre carte. Votre banque dispose sûrement d'un service dédié par téléphone.
Faites une déclaration de fraude à la carte bancaire en ligne sur la plateforme Perceval de la gendarmerie si vous relevez une transaction frauduleuse sur votre compte.
Si vous avez donné votre numéro de téléphone, redoublez de vigilance sur les appels et SMS que vous recevez.