connaître / déchiffrer

Les conseil de Spokus #4 Reconnaître et déjouer les arnaques en ligne

Hacking phishing attack. Flat vector illustration of young hacker sitting on the laptop to hack protection system. young man with code symbols on blue background

Avec la crise du coronavirus, nous passons plus de temps devant nos écrans pour télétravailler, rester en contact avec nos proches ou nous divertir. Une aubaine pour les cybercriminels qui multiplient les arnaques (appelées aussi scams) à destination des entreprises et des individus. Quelles sont les arnaques qui touchent le plus les particuliers ? Et comment s’en prémunir ? C’est l’objet de ce nouveau numéro des conseils de Spokus !

Chantage à la webcam prétendument piratée

Un mail d’un « hacker » vous informe que votre ordinateur a été piraté, et que vous avez été filmé à votre insu par webcam alors que vous consultiez des sites pornographiques. Afin d’éviter la diffusion des images à vos proches ou collègues, vous devez payer une somme importante en Bitcoin. Pour appuyer ses dires, le « hacker » peut divulguer un de vos mots de passe ou vous écrire depuis votre propre adresse mail … Sans toutefois pirater votre ordinateur. Comment est-ce possible ? Comme l’explique Tris Acatrinei du site Hackers Republicun email peut être « maquillé » pour afficher une adresse mail qui n’est pas celle utilisée pour envoyer le message. Quant aux mots de passe contenus dans le scam, il peut s’agir de données précédemment compromises. « Les escrocs jouent sur le fait que malheureusement les victimes ne changent pas assez souvent leur mot de passe et qu’elles réutilisent le même sur différents accès » observe Cybermalveillance.gouv. « Or, l’actualité montre que de nombreux sites, parfois très réputés, se font régulièrement pirater leurs bases de comptes utilisateurs qui contiennent des adresses de messagerie et des mots de passe que les cybercriminels se revendent ensuite entre-eux pour pouvoir commettre ce type de méfaits. »

Pas de panique, donc, si vous recevez ce type de messages : un copier-coller d’une ou deux phrases du mail reçu sur Google et vous vous apercevrez que des milliers de personnes ont reçu le même. 38 % des recherches d’assistance des particuliers sur Cybermalveillance.gouv en 2019 concernent cette arnaque, diffusée à des millions d’adresses depuis 2018. Les conséquences psychologiques d’une véritable sextortion sont terribles et nous n’avons pas la présence d’esprit de nous interroger sur la véracité de ces messages lorsque nous sommes sous le coup de la menace.

Il ne faut, bien entendu, rien régler des sommes demandées par le cyber-criminel, signaler l’arnaque sur Internet-signalement.gouv et déposer plainte, notamment si la rançon a été payée.

Hameçonnages (ou fishing)

Un faux-mail de Netflix, de l’Assurance maladie ou de la CAF vous redirige vers un site internet où il vous est demandé de fournir certaines données personnelles comme vos coordonnées bancaires en échange d’un gain potentiel (abonnement gratuit pendant le confinement, remboursement, prestation sociale…) ou pour éviter une perte (fin de prestations, fermeture de compte…).

Ces arnaques sont aujourd’hui très perfectionnées. Elles vont jusqu’à reprendre la charte graphique des organismes pour lesquelles elles se font passer :

« L’hameçonnage sur les réseaux sociaux tend également à se développer, car il permet souvent de contourner la protection mise en place par les opérateurs de messagerie. » précise Cybermalveillance.gouv. Exemple avec ce post Facebook qui promet un bon d’achat de 250€ en échange de vos coordonnées personnelles, et qui est bien évidemment un faux :

Comment réagir face à un mail douteux ? Fautes d’orthographe, utilisation d’une police ou d’une adresse e-mail qui n’est pas celle de l’organisme dont l’identité est usurpée … doivent retenir l’attention. La comparaison avec un relevé bancaire peut également permettre d’identifier un remboursement qui ne correspond à aucune somme engagée. Enfin, en survolant le lien contenu dans l’e-mail il est facile de voir si le site auquel il renvoie correspond au « vrai » nom de domaine d’un organisme ou d’un service en ligne. Netflix-usa.net n’est, par exemple, pas un nom de domaine de Netflix et a été crée le 18 mars 2020 d’après Who is.

Gardez toutefois à l’esprit que la plupart des organismes, banques ou entreprises ne vous demanderont jamais de fournir des informations personnelles par e-mail.

Ces mails peuvent être signalés sur Signal Spam. Si vous avez fourni vos mots de passe, changez les immédiatement, et s’il s’agit de vos coordonnées bancaires, faites opposition et déposez plainte.

Arnaque au faux support technique

En cliquant sur un lien contenu dans un mail ou en visitant un site web, une fenêtre pop-up s’affiche de manière intempestive sur l’écran de votre ordinateur. Elle vous informe que vous êtes victime d’un virus ou que la sécurité de votre ordinateur est corrompue, et vous invite à joindre une ligne d’assistance téléphonique pour régler la situation. Vous êtes alors mis en ligne avec un « technicien » d’une plateforme d’appel frauduleuse. Il procède à une fausse évaluation (sans queue ni tête dans l’exemple ci dessous !) et conclut que votre ordinateur rencontre de graves problèmes de sécurité avant de vous adresser un devis exorbitant pour réaliser des opérations basiques ou fantaisistes (installation de logiciels gratuits, arrêt de processus depuis le gestionnaire des tâches) :

Cette arnaque au faux support technique fait beaucoup de victimes parmi ceux qui maîtrisent moins l’usage de l’ordinateur, notamment les personnes âgées.

Souvent, un simple redémarrage de l’ordinateur suffit à faire disparaître le problème crée par l’arnaque. Cybermalveillance.gouv donne quelques conseils supplémentaires dans une fiche dédiée. Après avoir rassemblé les preuves nécessaires, en photographiant votre écran, vous pouvez signaler l’arnaque sur Internet-signalement et déposer plainte, notamment si de l’argent est en jeu.

Des scams 4-1-9 aux arnaques sentimentales

Moins répandue aujourd’hui, l’arnaque dite « 4-1-9 » (du nom de l’article de loi nigérian condamnant ces arnaques) date des débuts d’Internet (+ d’infos sur sa naissance au Nigéria dans notre article pour Spokus). Elle se répand par mail, et met typiquement en scène une riche personne qui, à la fin de sa vie, vous contacte pour faire de vous l’héritier de sa fortune. Elle impose souvent comme condition d’employer l’argent pour des œuvres caritatives. Ici quelques extraits d’un exemple récent (à retrouver en intégralité sur Signal Arnaques). On vous laisse savourer les références au coronavirus :

BONJOUR…BONSOIR,
Je vous prie de bien vouloir m’excuser pour cette intrusion, je suis Mme THERY GENEVIEVE, âgée de 61 ans originaire de France […]. Je souffre de ce MAUDIT VIRUS appelé le COVID-19 (CORONAVIRUS). […] Sachez que mes jours sont comptés (9 à 12 jours à vivre) du fait de mon état de santé dégradé. [….].

[…]. J’ai presque vendu mes affaires dont une compagnie d’exportation de bois en ITALIE ou je vivais avec mon homme depuis près de 18 ans, une partie de tout cet argent sera versé à différentes associations et des centres d’aide aux personnes âgées et pour la lutte contre ce CORONAVIRUS. J’ai en ce moment dans mon compte personnel, la somme globale de 670.000 Euros.

Je souhaiterais vous donner cet argent qui pourra vous aider dans votre projet et dans votre vie, car la personne devant ce mail, ne sera jamais touché par ce virus (Que le bon DIEU vous épargne). Si vous êtes une personne sincère et humble, veuillez me contacter le plus rapidement pour que nous puissions en discuter. [….] Les démarches et la transaction s’effectueront qu’en ligne pour respecter le confinement. […]

Après quelques échanges par mail, vous apprenez que divers frais sont à régler avant de pouvoir toucher l’héritage. Les messages suivent généralement des scripts très précis, avec des réponses copiées et collées au gré des questions posées et l’intervention d’un faux notaire.

Cette arnaque, rudimentaire d’un point de vue technique, est presque vieille comme le monde. Elle était déjà connue des forces de police au XIXe siècle, circulant par courriers postaux. Elle repose sur la création d’une relation de confiance avec la victime.

Elle laisse place aujourd’hui à des arnaques sentimentales plus perfectionnées dont voici un échantillon :

→ Romance scam

Dans les romance scam, le cybercriminel va entrer, par exemple, en contact avec sa victime sur les réseaux sociaux ou les sites de rencontres. Il établira avec elle une relation sur des semaines ou des mois avant de trouver des prétextes pour lui soutirer de l’argent (achat de billets d’avion pour lui rendre visite, voyage à l’étranger qui tourne mal …).

→ Sextorsion ou chantage à la vidéo intime

Similaire au romance scam, l’extorsion d’images intimes (sextortion) consiste pour le cybercriminel à entrer en contact avec sa victime (souvent jeune et de sexe masculin) sur les sites de rencontres ou réseaux sociaux et d’instaurer un rapport de séduction aboutissant au dévoilement d’images intimes. Pour ce faire, l’arnaqueur peut utiliser des applications comme Virtual Cam Whore qui simulent le flux vidéo d’une webcam. La victime croit être face à une vraie personne, mais il ne voit en réalité que des séquences pré-enregistrées jouées par une « actrice ». Ces séquences sont montées en temps réel pour s’adapter à la teneur des échanges. Entre-temps, l’arnaqueur aura pris soin de collecter les coordonnées des proches de la victime, en devenant pas exemple son « ami » Facebook. Une fois les images intimes capturées, il pourra exercer son chantage et demander d’importantes sommes d’argent pour éviter la diffusion des images (un millier d’euros en moyenne, et jusqu’à plusieurs dizaines de milliers d’euros d’après le dernier rapport du ministère de l’Intérieur).

→ Arnaque du voyageur

Dans cette dernière arnaque, le cybercriminel se fait passer pour un proche de la victime. Il prétend être coincé dans un pays étranger et avoir besoin d’argent pour débloquer une situation critique (kidnapping, hospitalisation, incarcération …).

Comment reconnaître ces arnaques ? Si vous avez des doutes sur la personne avec laquelle vous échangez, n’hésitez pas à rechercher son nom sur Google, ainsi que sa photo de profil grâce à la recherche inversée d’images. Les arnaqueurs utilisent souvent des photos « volées » sur des profils Facebook ou des images de mannequins. S’il s’agit de l’un de vos proches, essayez de le contacter par un autre moyen pour lui demander s’il est à l’origine du message suspect. Des demandes de règlement via des moyens anonymes comme les cartes prépayées doivent également attirer votre attention. Se documenter sur ces arnaques est enfin un bon moyen de les identifier rapidement ; elles reposent sur des scénarios que l’on retrouve d’un cas à l’autre. Signal Arnaques est une base d’arnaques très riche en exemples.

Cybermalveillance.gouv conseille, si vous êtes victime, de stopper toute communication avec l’escroc et d’accumuler le plus de preuves possibles pour ensuite porter plainte. Le numéro gratuit Infos Escroqueries 0 805 805 817 peut vous aider dans vos démarches.

A la semaine prochaine pour de nouveaux conseils !

Eymeric Manzinali

Spokus

Laissez-nous un commentaire