Les escroqueries utilisant les outils de télécommunication ne sont pas un phénomène nouveau. Dans les années 90, il était commun de recevoir des appels téléphoniques informant d’un prix gagné dans un concours fictif ou des fax offrant des promotions incroyables. Actuellement, avec la venue d’internet, ces arnaques se multiplient. Les premières escroqueries par email sont apparues dans les années 2000, avec notamment un prince nigérien ayant besoin d’assistance pour transférer de fonds. En quelques années, ces arnaques ont évolué et sont devenues beaucoup plus subtiles ; aujourd’hui, elles exploitent les plateformes dans lesquelles nous avons confiance, utilisent des nouvelles technologies comme l’AI et nous parviennent des quatre coins du monde.
Quelles sont donc ces escroqueries nouvelle-génération, comment les détecter et surtout comment se protéger ? ZENData vous explique et illustre les quatre types d’arnaques les plus communes sur internet.
Les attaques exploitant les recherches Google
Lorsque vous cherchez l’adresse d’un docteur, le site web d’un e-commerce ou même le numéro de téléphone de la hotline de votre banque, il y a de fortes chances que votre recherche commence par Google Search. Les criminels le savent et s’emploient à faire apparaitre leurs informations malveillantes tout en haut des résultats de Google. Ceci est appelé du « SEO Poisoning »
Rob souhaitait contacter PayPal par téléphone afin de recevoir de l’assistance concernant son compte. Il effectue la recherche Google « call PayPal », et le premier résultat lui indique le site PayPal avec un numéro de téléphone. Rob clique donc sur ce lien pour composer l’appel, et la personne (apparemment un collaborateur de PayPal) qui répond lui demande l’adresse email de son compte. Il l’informe ensuite avoir envoyé un SMS sur son portable pour bien vérifier son identité et lui demande de lire le code à haute voix. Une fois cela fait, l’interlocuteur prie Rob de rester en ligne et d’attendre. Pendant ce temps, Rob se fait dérober l’argent de son compte PayPal ainsi que de sa carte de crédit.
Le lien sur lequel Rob a cliqué était en réalité une publicité PayPal frauduleuse avec un numéro de téléphone qui n’appartenait absolument pas à la compagnie. L’interlocuteur à l’autre bout du fil, en demandant l’adresse email de l’utilisateur, a pu effectuer une demande de « reset » du mot de passe sur le vrai site de PayPal. Celui-ci envoie un code de sécurité par SMS afin de vérifier que la demande de changement de mot de passe est légitime, ce qui a été « prouvé » lorsque Rob a transmis ce code à l’escroc. À ce moment, l’arnaqueur réussit à accéder au contenu du compte PayPal.
Les fausses factures par email
Le terme de « spam », ou pourriel en français, est trop générique pour qu’un utilisateur puisse correctement comprendre la menace. Car, bien qu’il définisse des emails que nous ne souhaitons pas recevoir, il en existe de nombreux types de spam qui devraient être correctement différenciés, tels que les emails d’usurpation d’identité, fraude au directeur, email avec des pièces jointes malveillantes, email avec lien (URL) malveillant, phishing, spearphishing, whaling, etc. Une attaque par email très efficace est celle des fausses factures, où l’escroc envoie un email avec une facture liée à son compte bancaire. Dans la majorité des cas, le hackeur a réussi à acquérir un accès à un compte email ; il attend qu’il y ait une conversation au sujet d’un transfert financier pour ensuite envoyer son compte IBAN personnel (souvent avec le prétexte d’un problème avec le compte habituel). Ces attaques sont tout aussi efficaces contre les PME (qui possèdent peu de processus internes pour valider les transactions) que contre les grands groupes (avec des grandes équipes et de nombreux décideurs sans vision globale).
Il y a moins de deux ans, ZENData a été contacté par une petite fiduciaire genevoise, gérant des fonds de clients de l’Europe de l’Est auprès des banques locales lorsqu’elle a été victime de ce type d’attaque. Des hackeurs avaient piraté ses boites email, puis envoyé des instructions de transferts bancaires sur leur compte pour quelques millions de CHF. Le type d’instruction reçu ressemblait fortement aux transferts habituels et le directeur de la fiduciaire n’était personnellement pas atteignable pour valider le call-back.
Facebook et Google ont également été victimes de fausses factures. L’escroc Evaldas Rimasauskas a facturé aux deux géants de l’internet plus de $100 millions en prétendant être leur fournisseur de matériel Quanta Computer à Taiwan. Evaldas a fait croire à Facebook et Google qu’une compagnie portant le même nom en Europe, et créée de toutes pièces, était une succursale de la compagnie taiwanaise. Bien que ces deux entreprises avaient de nombreux outils en place pour empêcher ce genre d’attaque, Evaldas avait suffisamment de connaissances sur les processus de commande et paiements de ces deux compagnies pour émettre des fausses factures et soustraire de l’argent pendant deux ans.
Les arnaques d’amour
On dit que l’amour rend aveugle ; ceci est d’autant plus vrai lorsqu’on découvre les histoires liées aux arnaques amoureuses. Les escrocs profitent des personnes recherchant des partenaires romantiques, souvent via des sites de rencontre, des applications ou des réseaux sociaux. Ce type de phishing, appelé Catphishing, est un nouveau phénomène par lequel les arnaqueurs créent une présence complète, mais complètement fictive, sur les médias sociaux, en prétendant être des compagnons potentiels. Ainsi, ils manipulent les déclencheurs émotionnels pour mener la victime à lui fournir de l’argent. Généralement, l’escroquerie dure plusieurs semaines ou mois (pendant lesquels l’escroc est très romantique et offre même des petits cadeaux) ; finalement il (ou elle) demandera de l’argent pour une urgence en promettant de le rembourser. Évidemment, l’argent ne sera jamais remboursé.
Roxanne Reed, une femme de 55 ans aux USA, a été piégée par une arnaque amoureuse où elle a été « Catphished ». La famille de Roxanne a commencé à s’inquiéter en découvrant la quantité d’argent qu’elle avait envoyé à son amant et en a averti la police. Pendant la procédure, les forces de l’ordre ont découvert que Roxanne et son amant étaient en train de planifier l’assassinat de la mère de Roxanne, âgée de 88 ans, afin de toucher l’héritage.
Ce qui est particulièrement tragique dans les arnaques amoureuses est que, non seulement la victime perd une grande partie de sa fortune, mais en plus se retrouve le cœur brisé et couverte de honte. L’histoire vraie de Dirty John sur Netflix raconte l’histoire d’une arnaque amoureuse.
Les arnaques d’investissement
Les arnaques d’investissements ont à elles seules fait perdre plus d’argent que toutes les autres arnaques réunies. Il en existe de nombreuses variations, telles que les propositions d’investissement à risque faible mais avec un gain élevé et rapide, ou encore des investissements dans des compagnies pas listées. La majorité de ces arnaques se font encore par téléphone et visent les personnes du troisième âge.
Steve, 65 ans, a été contacté concernant une nouvelle plateforme en ligne de gestion de fonds, spécialement conçue pour les retraités. Un vendeur de la plateforme s’était même rendu chez lui pour lui expliquer le fonctionnement sur son ordinateur ; convaincu, Steve a effectué un virement initial de $10’000 et, voyant sa fortune grandir sur la plateforme, a finalement viré plus de $200’000. Un jour, le site était fermé ; tout l’argent investi avait disparu. Quelques mois plus tard, un avocat le contacte pour l’aider à retrouver ses fonds ; Steve est soulagé… mais ce n’est que pour découvrir que le soi-disant avocat faisait partie de la même équipe d’escrocs, tentant de lui voler encore plus d’argent.
Les escroqueries peuvent être extrêmement rentables pour les criminels et ne leur demandent que très peu de connaissances techniques et d’investissements. Ils sont donc prêts à consacrer du temps pour exécuter leurs attaques efficacement. ZENData voit régulièrement apparaître des faux profils sur LinkedIn, des pop-ups promotionnels sur des sites web, des emails faisant rêver venant d’entreprises établies, etc. tous ayant des buts malveillants.
Détecter une escroquerie n’est pas forcément évident. Certains outils technologiques, tels que des firewalls, peuvent vous aider en bloquant les sites frauduleux ; toutefois, la meilleure défense reste de se montrer sceptique de ce que l’on voit en ligne et de demander autant que possible l’opinion de son entourage avant de prendre une décision qui pourrait coûter très cher…
