Votre enfant fête bientôt son anniversaire et vous comptez lui organiser une fête d’anniversaire ? Notre enquête sur une nouvelle forme d’escroquerie, dont nous n’avions jamais eu vent jusqu’ici, devrait vous intéresser. L’affaire se distingue par l’étonnante quantité de données personnelles qui sont exploitées par l’attaquant. Pour arriver à ses fins, le pirate s’est en effet servi d’informations particulièrement précises. Elles ont permis d’endormir la méfiance de la victime… et de lui voler de l’argent. Pour bien comprendre ce qu’il s’est passé, nous avons longuement interrogé la victime, que nous appellerons « Marie » afin de préserver son anonymat.
Une cyberattaque en prévision d’une fête d’anniversaire
L’histoire débute quelques jours avant les 10 ans de son fils, que nous appellerons « Matteo ». En prévision d’une fête d’anniversaire qui aura lieu un dimanche, des cartons d’invitation papier sont distribués à l’école, à charge pour les parents de la dizaine d’enfants invités de répondre par SMS positivement ou négativement.
Au cours de la semaine, Marie reçoit sur son smartphone plusieurs SMS de parents confirmant la venue de leur enfant. Un mercredi en fin de journée, elle reçoit un message d’un numéro inconnu, se présentant comme la mère de « Bastien », un des enfants invités. Ce numéro explique que le petit garçon ne pourra pas venir – une information qui était déjà en possession de Marie. Quelques jours plus tôt, elle avait justement croisé cet enfant devant l’école, qui l’avait avertie qu’il ne pourrait pas être présent le jour J.
Une discussion s’en suit par SMS. « J’étais vraiment persuadée de discuter avec la mère d’un copain de mon fils », nous confie-t-elle. Pendant la conversation, on lui demande de lui renvoyer un code qu’elle vient de recevoir, notamment « parce que les messages sont bloqués par mon téléphone ». Marie ne réfléchit pas et s’exécute. La conversation se poursuit encore avant qu’elle n’arrive sur son lieu de travail, moment où les messages s’arrêtent.
Quelques minutes plus tard, Marie jette un coup d’œil à son écran de téléphone. Elle est immédiatement intriguée par des notifications, qui l’avertissent de quatre achats faits via son abonnement SFR. « Là, j’ai compris que le code que j’avais donné et ces achats étaient liés ». Elle pense pouvoir rattraper le coup en appelant immédiatement son opérateur, sans succès. Ce dernier lui explique que les quatre opérations qui avoisinent en tout les 100 euros ont déjà été validées. C’est trop tard, SFR ne peut plus rien faire de son côté. La société lui conseille de contacter l’entreprise au sein de laquelle les achats frauduleux ont été réalisés : Apple.
La quadragénaire s’exécute immédiatement, mais là aussi, c’est la douche froide. La société botte en touche. A l’heure de la publication de cet article, Marie n’avait toujours pas récupéré ses euros indûment prélevés. Mais l’histoire ne s’arrête pas là. A la personne qui se présentait comme la mère de Bastien, elle lui envoie ce SMS : « Mais vous êtes une arnaque en fait ! ». La personne essaie de l’appeler, mais elle ne répond pas.
Le même numéro lui envoie ensuite : « Bonjour, je suis le papa de Gabriel. Nous viendrons bien à l’anniversaire de Matteo ». Elle préfère ne pas répondre. Il lui demande quelques minutes plus tard : « Êtes-vous bien la mère de Matteo, en CM1B ? ». Il se trouve que son fils est bien en CM1B, et qu’un Gabriel faisait aussi partie de la liste des invités. « Ce qui m’a le plus choqué, c’est qu’ils avaient à disposition de nombreuses informations très précises », nous confie-t-elle. Comment l’arnaqueur pouvait-il avoir autant de données qui se sont avérées véridiques, alors que la victime affirme n’avoir fait appel à aucun prestataire physique ou en ligne pour cet anniversaire ? Elle n’a pas non plus annoncé cet événement sur les réseaux sociaux.
Que s’est-il vraiment passé ?
Pour comprendre comment l’attaquant est parvenu à s’emparer d’informations terriblement précises, nous avons contacté une poignée de chercheurs en cybersécurité. Les experts s’accordent à reconnaître que l’arnaque est particulièrement bien ficelée. Interrogé par 01net.com, Benoit Grunemwald, le directeur des affaires publiques d’ESET France, admet que n’importe qui aurait pu tomber dans le piège.
« C’est toute la force de l’ingénierie sociale. C’est que quand tu es dedans, tu es dedans », nous explique l’expert.
Cette arnaque repose en fait sur la manipulation psychologique. Au lieu de s’attaquer aux failles des systèmes informatiques, les cybercriminels vont manipuler les gens pour leur soutirer des informations ou les pousser à faire quelque chose.
Le chercheur souligne qu’il est très compliqué de se protéger contre les escroqueries de ce genre, « parce que cela signifie que tu remets en question même des gens qui sont proches de toi, des gens que tu peux même avoir, pourquoi pas, rencontré ou pensé avoir rencontré à la sortie de l’école ».
La piste d’un smartphone piraté
Pour Marc Rivero, chercheur au sein du GReAT, l’équipe globale de recherche et d’analyse de Kaspersky, une entreprise de cybersécurité, il est probable que « le téléphone de l’un des parents ait été piraté ». Le piratage aurait permis à « l’escroc d’accéder aux messages WhatsApp ». Ce serait par le biais d’un smartphone compromis que l’attaquant a obtenu une myriade d’informations sur Marie et sur l’anniversaire en préparation à son domicile. Il est possible que ce soit de cette manière que « l’escroc a pu recueillir suffisamment d’informations personnelles pour rendre son histoire crédible et faire coïncider l’escroquerie avec le moment opportun ».
« Même les conversations de groupe apparemment privées peuvent être compromises si les appareils des participants présentent des vulnérabilités. Une simple capture d’écran depuis un appareil compromis pourrait suffire », nous explique de son côté Adrianus Warmenhoven de NordVPN, une société qui propose des réseaux privés virtuels.
Le parent d’un des enfants invités à la fête aurait pu se retrouver dans le collimateur d’un malware, comme un voleur de données, ou d’un pirate spécialisé dans les attaques de phishing. Comme le rappelle Benoit Grunemwald, les smartphones, surtout les appareils sous Android, sont massivement visés par des logiciels malveillants, que ce soit par le biais du Play Store ou d’APK échangés sur la toile. Il arrive très souvent que des applications Android propagent des virus sur le téléphone de ses utilisateurs, sans que ces derniers en aient conscience – votre enfant peut installer en toute discrétion des appli gratuites. Or, ces applications peuvent être des chevaux de Troie, c’est-à-dire des apps d’apparence inoffensive taillées pour glisser des maliciels, comme des spywares, sur le smartphone de ses usagers.
Dans ce cas de figure particulier, l’attaque est alors diligentée par un pirate situé à l’étranger, qui est spécialisé dans les escroqueries en ligne, et qui dispose de toutes les astuces et tactiques pour duper ses victimes. En d’autres termes, il pourrait s’agir d’un brouteur, autrement dit un escroc qui a l’habitude de se faire passer pour quelqu’un d’autre afin d’extorquer de l’argent à des internautes. Ils se trouvent généralement en Afrique, notamment en Côte d’Ivoire, au Bénin ou au Ghana.
« Quand tu es brouteur, tu es entraîné au quick-talk ou au smart-talk. […] Tu es capable de discuter pendant deux heures de tout et de rien avec quelqu’un, et donner l’impression que tu le connais vraiment. C’est un peu comme un mentaliste ou une voyante, qui te dit exactement ce que tu as envie d’entendre, en fonction de ce que tu laisses transparaître sans t’en rendre compte. Donc si tu discutes avec quelqu’un et que tout te paraît fluide, naturel, normal… ce n’est pas une preuve que tu n’es pas en face d’un escroc », souligne Benoit Grunemwald.
Un numéro de téléphone volé
Les chercheurs n’excluent pas la possibilité qu’un parent ait été victime d’une attaque SIM Swap. Ce type d’attaque consiste à voler un numéro de téléphone en le transférant sur une autre carte SIM. Pendant ce temps, la vraie carte SIM ne marche plus : le propriétaire se retrouve sans réseau, sans comprendre pourquoi.
De facto, le pirate peut lire et envoyer des SMS avec le numéro de téléphone d’une personne, sans que celle-ci ne s’en rende compte. En consultant les messages reçus, le hacker aurait pu avoir vent de la fête d’anniversaire organisée par Marie et décider d’en tirer profit.
Une attaque venue « d’une connaissance d’une connaissance » ?
Plusieurs éléments du témoignage de la victime laissent plutôt penser que Marie a été victime d’un cybercriminel qui se trouve dans son entourage. Il peut s’agir « d’un travail interne, où un parent du groupe de classe a utilisé les informations qu’il possédait déjà, comme le numéro de téléphone de Marie, la date de la fête et les noms des enfants, pour se faire passer pour un autre parent et mener à bien l’escroquerie », estime Marc Rivero.
On pourrait avoir « affaire à un Français qui veut se faire de l’argent de poche », ajoute Benoit Grunemwald. L’offensive proviendrait alors d’une « connaissance d’une connaissance ou quelqu’un qui n’est pas loin ». Des « petits génies malveillants, il n’y a pas besoin d’aller en Afrique pour en trouver ». L’expert prend l’exemple de la cyberattaque qui a frappé Free l’année dernière, et qui s’est soldée par le vol des données personnelles de près de 20 millions d’abonnés. Après enquête, il s’est avéré que l’attaque a été menée par un jeune homme de 17 ans, qui réside à Breuillet (Essonne).
On peut penser que le pirate à l’origine de l’arnaque à la fête d’anniversaire est « culturellement très proche de nous et donc pas forcément en Afrique ». Les experts n’écartent pas la piste d’une vengeance personnelle, spécifiquement dirigée contre Marie. L’attaquant aurait voulu s’en prendre à la victime dans le but de lui faire du tort. Le gain financier serait ici secondaire.
Un bout de papier à l’origine de l’arnaque
Du côté des vecteurs d’attaque, nos recherches suggèrent que c’est l’invitation papier, distribuée à l’école par le fils de Marie, qui est à l’origine de l’arnaque. C’est grâce à ce document que l’attaquant a obtenu les informations nécessaires pour contacter la victime et arriver à ses fins. Bien que Marie affirme qu’il n’y avait pas de trace numérique de l’événement, il n’est pas inconcevable qu’un des parents ait pris l’invitation en photo pour la partager. La photo, truffée de données, a pu finir par être collectée par un malware installé sur le téléphone ou sur celui de son interlocuteur.
« C’est possible que ce soit une photo, une capture partagée quelque part. Quelqu’un a peut-être fait une trace numérique du papier », imagine Benoit Grunemwald.
L’expert Adrianus Warmenhoven rappelle d’ailleurs que les informations disséminées par des bouts de papiers peuvent finir par être exploitées par des pirates. Même « les déchets peuvent révéler des données, comme le démontre la technique de “dumpster diving (fouille de poubelles)” ». Par mesure de sécurité, on vous recommande de passer tous les documents contenant des informations sur votre compte, comme des factures ou des documents financiers, au broyeur.
« Un des enfants rentre chez lui et perd le papier en chemin. Pas de chance : c’est justement un arnaqueur qui habite dans le coin qui le ramasse. Imagine, tu vis dans un immeuble, et sans le savoir, ton voisin de palier, c’est un petit génie du piratage qui arrondit ses fins de mois en escroquant les gens sur Internet », théorise Benoit Grunemwald.
Un loupé du côté de SFR ?
L’arnaque a pu se faire grâce à un code à usage unique, reçu par la victime de SFR. Marie a ensuite fait l’erreur de le donner à l’arnaqueur – qu’elle pensait être la mère d’un ami de son fils. Ce code a réellement été envoyé par l’opérateur pour valider des achats faits via son abonnement mobile. Il est en effet possible d’acheter certains services ou produits bien précis, comme le précise le site Web de l’opérateur telecom. Seuls les séries, les jeux, la musique et les achats faits sur les boutiques d’application comme Google Store peuvent être commandés via l’abonnement.
Comme toujours, le pirate a opté pour des virements de petites sommes, toujours en dessous de 25 euros, pour échapper aux mécanismes anti-fraudes. Il s’agit « d’une tactique de fraude courante pour passer sous le radar des systèmes de détection automatique des fraudes des banques et aussi pour espérer que la victime ne remarquera pas tout de suite les petits montants », souligne Marc Rivero.
Y a-t-il eu pour autant un raté du côté de l’opérateur ? Aucun des experts contactés n’a répondu par l’affirmative. Pour valider l’opération d’achat, le code reçu et le code donné concordaient bien. Pour l’opérateur, il était impossible de détecter en l’état que Marie, la détentrice de l’abonnement, n’était pas à la manœuvre. Mais selon Benoit Grunemwald, le directeur des affaires publiques d’ESET France, les entreprises pourraient renforcer le processus de sécurité en la matière en ajoutant une étape supplémentaire de validation.
Contacté par 01net.com, SFR indique qu’il n’y a pas eu à sa connaissance « de recrudescence de plaintes » qui auraient fait suite à des arnaques similaires. L’opérateur rappelle que le code, qui permet de vérifier les achats, « ne se partage pas ». Lorsqu’il est envoyé, « un message de prévenance l’accompagne (…), il est explicitement écrit qu’il est personnel et pour des raisons de sécurité, ne doit être partagé », souligne l’entreprise.
Les bonnes pratiques pour se protéger
Au fil de nos échanges avec les chercheurs, nous avons dressé une liste des bonnes pratiques à adopter pour éviter les arnaques de cet acabit.
Supprimer la possibilité d’achats via son abonnement
Pour éviter ce type d’arnaque, il est d’abord possible de limiter la possibilité d’achats effectués via son abonnement, directement chez son opérateur. Pour ce faire, il suffit de se rendre sur son compte personnel, pour SFR, et de décocher cette possibilité d’achats, notamment sur la page « gérer en ligne mes achats de service et abonnements multimédia ». Toute tentative sera alors directement arrêtée par l’opérateur. Vous pouvez aussi déterminer un montant à ne pas dépasser, ce qui peut sensiblement limiter les dégâts.
Deux numéros valent mieux qu’un
Nous vous recommandons aussi de scinder vos activités privées et professionnelles, en optant pour deux numéros de téléphone si vous avez une activité professionnelle publique. Marie se servait par exemple du même numéro de téléphone pour ses communications privées, comme l’organisation de la fête d’anniversaire de son fils, que pour les prises de rendez-vous pro. En optant pour deux numéros séparés, il est possible de voir venir certaines tentatives d’arnaques.
« Si demain, quelqu’un utilise mon numéro professionnel pour me piéger avec ce genre d’arnaque, je me méfierais tout de suite. Ça ne veut pas dire que je ne tomberais pas dans le piège, mais je trouverais ça très louche. Parce qu’il n’y a aucune raison pour que les parents des copains de mes enfants aient mon numéro pro », détaille Benoit Grunemwald.
Pour obtenir un second numéro de téléphone, c’est très simple. De nombreux smartphones, dont l’iPhone, permettent déjà d’installer une carte SIM physique, et une eSIM, une carte SIM qu’on qualifie communément de virtuelle.
Des numéros jetables
Suivant la même logique, vous pouvez vous servir de numéros jetables. Dans le cas de Marie, elle aurait pu organiser l’anniversaire en se servant d’un numéro de téléphone temporaire. Cette précaution aurait évité que n’importe qui tombe sur son véritable numéro. Vous pouvez reprendre cette astuce lorsque vous mettez en vente quelque chose sur LeBonCoin ou Facebook.
« Mon numéro de téléphone aujourd’hui, c’est la clé pour énormément de choses, et notamment, par exemple, des transactions bancaires », poursuit l’expert d’ESET France, justifiant le besoin grandissant d’un numéro de téléphone jetable.
Parmi les services permettant d’obtenir un second numéro de téléphone à prix correct, on trouve des apps comme OnOff, Hushed, Numero eSIM, ou encore TextNow. On vous recommande aussi des services comme Holafly et Yesim. Vous êtes libres d’acheter un numéro et de le supprimer ultérieurement.
Une alternative au numéro de téléphone
Au lieu de communiquer un numéro de téléphone à vos invités, vous pouvez les inviter sur une application de messagerie comme Telegram. Celle-ci permet de créer un pseudo et de chatter avec quelqu’un sans lui donner de numéro. Il suffit de partager votre pseudo pour qu’une personne entre en contact avec vous. Votre numéro de téléphone reste secret, sauf si vous avez décidé de l’afficher publiquement dans les réglages de l’application.
Évidemment, cette solution oblige vos potentiels interlocuteurs à installer Telegram au lieu de vous envoyer un simple SMS. On est bien conscient que cette approche risque de rebuter une grande partie de vos contacts, mais on a préféré vous en parler malgré tout.
Des questions privées comme mot de passe
Pour vous assurer de l’identité de votre interlocuteur, n’hésitez pas à lui poser des questions auxquelles il est le seul à pouvoir répondre. C’est le meilleur moyen de dissiper les doutes. C’est plus efficace et fiable qu’un appel téléphonique. Dans le cadre d’attaques sophistiquées, les pirates peuvent aller jusqu’à cloner la voix ou le visage de votre interlocuteur avec la technologie des deepfakes. Dès lors, un appel, qu’il soit audio ou vidéo, n’est pas forcément suffisant, surtout si vous avez affaire à des pirates avec des moyens sophistiqués.
Attention, il est important de choisir des informations que les pirates ne peuvent pas obtenir, comme des anecdotes privées. Ne choisissez pas une information qui aurait pu être publique à un moment ou un autre, que ce soit sur Facebook ou Instagram. Les pirates peuvent éplucher vos réseaux sociaux à la recherche de données vous concernant.
Les bonnes habitudes à prendre
Enfin, il y a des bonnes habitudes numériques de base qui pourraient vous permettre de passer entres les mailles des filets des pirates. Tout d’abord, n’installez jamais d’applications qui ne proviennent pas d’un magasin officiel, comme le Play Store ou l’App Store. Ce sont souvent des applications frauduleuses qui aboutissent à l’installation d’un malware. Deuxio, prenez l’habitude d’installer un antivirus fiable sur votre téléphone, surtout si vous ouvrez souvent des fichiers provenant d’Internet sur celui-ci. Par ailleurs, prenez le temps d’activer la double authentification dés que c’est possible, et optez pour un mot de passe complexe pour sécuriser tous vos comptes.
Que faire après l’arnaque ?
Si vous êtes victime d’une arnaque similaire, la première chose est de bloquer la possibilité d’achats via abonnement chez votre opérateur et de contester les opérations auprès de ce dernier. Contestez aussi ces dernières auprès de la société qui vous a prélevé. Prévenez aussi votre banque, et faites si besoin opposition – des prélèvements frauduleux peuvent aussi survenir en parallèle ou dans un second temps. Changez tous vos mots de passe, et portez plainte contre X – il est possible de le faire en ligne.
Il se peut aussi que votre smartphone ait été infecté. Nous vous recommandons d’installer un anti-virus. Parlez en aussi à votre entourage. Rappelez-vous que dès qu’on vous parle d’argent, dès qu’on vous demande de transmettre un code, cela doit vous alerter et vous inciter à couper la conversation orale ou écrite.
À lire aussi : Arnaques bancaires : pourquoi vous devez demander le remboursement auprès de votre banque
Malheureusement, le mystère concernant l’arnaque à la fête d’anniversaire dont Marie a été victime reste entier. Avec l’appui des experts, nous avons pu dressé une série d’hypothèses et imaginer des scénarios d’attaques plausibles, mais nous n’avons aucune certitude. Pour en avoir le cœur net, il faudrait passer par une analyse forensic du smartphone de la victime, et de tous les parents des enfants invités. À ce jour, nous ignorons où en est l’enquête du côté des forces de l’ordre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
