Le 25 juillet, Jérémy* écrit à Numerama en panique : il a peur de s’être fait pirater. Huit jours plus tôt, un ami l’a contacté sur Instagram pour une étrange demande. Son téléphone est prétendument bloqué, et il a besoin de quelqu’un pour recevoir les codes nécessaires à sa réactivation.
« Je me méfiais au début ,mais je me suis dit que c’était un ami et que je pouvais lui faire confiance », se rappelle Jérémy. Dans les minutes suivantes, le jeune homme a suivi à la lettre les indications données par son « pote » à l’écrit. Puis notre interlocuteur est « passé à autre chose », bien qu’étonné de la fin relativement abrupte de la conversation.
Une semaine plus tard, alors qu’il parcourt Instagram, il tombe sur une story publiée par une autre connaissance : « Il nous conseillait de faire attention à un certain message, et il se trouve que ce message, c’est exactement le même que mon ami m’a envoyé… » Inquiet, Jérémy a le bon réflexe d’activer la double authentification sur tous ses comptes importants. Mais il ne connaît pas l’ampleur des dégâts, et se demande s’il risque un SIM swapping.
« J’ai été trop naïf et je le regrette, j’ai vraiment peur », a-t-il confié à Numerama, avant d’envoyer des captures d’écran de la conversation. Il nous a précisé qu’il n’avait remarqué aucune activité suspecte sur ses réseaux sociaux ni sur son compte en banque. Et pour cause : la manipulation dont il est victime lui a ‘seulement’ fait valider des transactions facturées sur son forfait téléphonique. L’entourloupe dont il est victime n’est en réalité qu’une nouvelle version d’un scénario déjà exploité dans les années 2000. Au final, il s’en tire à moindre mal, avec un peu moins de 72 euros de surtaxe à régler.
Quand l’arnaque vient d’une personne de confiance
L’arnaque subie par Jérémy ne requiert aucune compétence technique. Dans le jargon, on parle « d’ingénierie sociale ». Très utilisé dans les phishings, ce genre manipulation consiste à pousser la victime à l’erreur avec un scénario bien huilé. Pour piéger Jérémy, le malfrat partait avec un atout de taille, le contrôle du compte de son ami. Cette ficelle est bien connue des malfaiteurs : plus la cible a confiance en son interlocuteur, moins elle sera alertée par les éventuelles incohérences du scénario.
Résultat, les victimes s’exécutent sans trop se poser de questions. Puis, une fois qu’elles réalisent l’entourloupe, elles relisent les échanges, et se rendent compte des différents signaux d’alerte qu’elles auraient dû voir,. Par exemple, Jérémy a été surpris par la demande initiale de son ami, et il lui a répondu : « pas de soucis, mais pourquoi tu me demandes à moi ? » Son interlocuteur lui a rétorqué : « Toi le seul disponible sur mon tél » (sic) . Une phrase mal construite, sur laquelle le jeune homme ne s’est pas arrêté.
Se procurer les identifiants (nom d’utilisateur et mot de passe) pour dérober un compte Instagram n’est pas bien compliqué pour les délinquants. Tirés de phishings, d’incidents de sécurité ou de fuites de données, ils peuvent s’acheter à la pièce ou en lot pour quelques euros, voire quelques centimes. Comme peu de personnes activent la double authentification, et comme beaucoup continuent à réutiliser le même mot de passe sur plusieurs comptes, cet achat au coût négligeable peut suffire à voler un compte.
Des transactions de 23,88 euros validées par la victime
Une fois le décor du scénario planté — Jérémy accepte d’aider son ami à « activer son téléphone » — le malfrat le bombarde de questions. Peut-il confirmer son numéro de téléphone ? Quel est son opérateur ? Peut-il transférer le code qu’il a reçu ? Puis un second ? Puis un troisième, car le second n’a pas fonctionné ?
Les messages reçus par Jérémy auraient pu l’alerter : « Info Orange : NE PARTAGEZ JAMAIS CE CODE PIN 887474 est votre code de sécurité Orange pour valider votre achat du service Boku Pay by mobile à 23.88euro(s) » (sic). Mais « l’ami » lui avait affirmé : « tqt pas [ne t’inquiète pas, ndlr], je sais qu’il dit 23€ mais tqt pas tu va rien payer prcq [parce que, ndlr] j’ai déjà payé les frais » (sic).
Après une petite recherche en ligne, on apprend que Boku est un service qui permet de valider une transaction en facturant le compte opérateur de l’utilisateur. Autrement dit, il paiera la somme de la transaction en plus du coût de son forfait Orange. La plupart des opérateurs permettent de bloquer ce genre de transaction, mais la protection n’est pas activée par défaut.
En l’espace d’à peine 5 minutes, Jérémy a envoyé trois codes en pensant qu’ils permettaient tous de réactiver le téléphone de son ami. En réalité, il a validé 3 achats du même montant, 23,88 euros, pour le compte de l’arnaqueur.
Comme s’il n’était pas suffisamment satisfait de sa réussite, le malfaiteur a terminé la conversation en précisant à Jérémy qu’il devait « effacer tous les messages reçus par SMS pour recevoir le SMS de confirmation. » Autrement dit, il a poussé sa victime à elle-même effacer les traces de la transaction frauduleuse. Dans tous les cas, Boku précise sur son site que tout achat effectué par son service de paiement ne peut être remboursé.
À la lecture de la conversation, l’arnaque semble bien trop grosse pour fonctionner, et même Jérémy le concède, a posteriori. Mais comme souvent, il suffit d’une baisse de méfiance et d’une discussion très rapide pour que le piège réussisse.
Comment éviter ce genre d’arnaque sur Instagram ?
- Le meilleur moyen de déjouer ce genre d’arnaque reste de prendre son temps, car la précipitation jouera toujours en faveur des malfrats. Nul doute qu’avec le temps, vous remarquerez la supercherie. Par exemple, vous vous rappellerez qu’une carte SIM bloquée peut être débloquée avec le code PUK, fourni à l’achat de la carte et facile à obtenir sur votre compte opérateur, sans frais à régler.
- Faites confiance à vos suspicions. Si une situation vous paraît louche, c’est qu’elle est effectivement louche et qu’elle mérite certainement des vérifications supplémentaires. Le nom « Boku Mobile » vous surprend ? Laissez votre ami patienter 30 secondes le temps de faire une rapide recherche sur Internet.
- Contactez votre ami par un autre moyen. Enzo vous envoie des messages inhabituels sur WhatsApp, Messenger ou Telegram ? Passez-lui un appel pour vous assurer que c’est bien lui derrière le clavier.
Vous voulez nous raconter une fois où vous avez été arnaqué en ligne ? N’hésitez pas à nous contacter à [email protected].
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !