Les escroqueries sur internet : comment ne pas être la prochaine victime

Les escroqueries sur internet : comment ne pas être la prochaine victime

Les escroqueries utilisant les outils de télécommunication ne sont pas un phénomène nouveau. Dans les années 90, il était commun de recevoir des appels téléphoniques informant d’un prix gagné dans un concours fictif ou des fax offrant des promotions incroyables. Actuellement, avec la venue d’internet, ces arnaques se multiplient. Les premières escroqueries par email sont apparues dans les années 2000, avec notamment un prince nigérien ayant besoin d’assistance pour transférer de fonds. En quelques années, ces arnaques ont évolué et sont devenues beaucoup plus subtiles ; aujourd’hui, elles exploitent les plateformes dans lesquelles nous avons confiance, utilisent des nouvelles technologies comme l’AI et nous parviennent des quatre coins du monde.

Quelles sont donc ces escroqueries nouvelle-génération, comment les détecter et surtout comment se protéger ? ZENData vous explique et illustre les quatre types d’arnaques les plus communes sur internet.

Les attaques exploitant les recherches Google

Lorsque vous cherchez l’adresse d’un docteur, le site web d’un e-commerce ou même le numéro de téléphone de la hotline de votre banque, il y a de fortes chances que votre recherche commence par Google Search. Les criminels le savent et s’emploient à faire apparaitre leurs informations malveillantes tout en haut des résultats de Google. Ceci est appelé du « SEO Poisoning »

Rob souhaitait contacter PayPal par téléphone afin de recevoir de l’assistance concernant son compte. Il effectue la recherche Google « call PayPal », et le premier résultat lui indique le site PayPal avec un numéro de téléphone. Rob clique donc sur ce lien pour composer l’appel, et la personne (apparemment un collaborateur de PayPal) qui répond lui demande l’adresse email de son compte. Il l’informe ensuite avoir envoyé un SMS sur son portable pour bien vérifier son identité et lui demande de lire le code à haute voix. Une fois cela fait, l’interlocuteur prie Rob de rester en ligne et d’attendre. Pendant ce temps, Rob se fait dérober l’argent de son compte PayPal ainsi que de sa carte de crédit.

paypal scam

Le lien sur lequel Rob a cliqué était en réalité une publicité PayPal frauduleuse avec un numéro de téléphone qui n’appartenait absolument pas à la compagnie. L’interlocuteur à l’autre bout du fil, en demandant l’adresse email de l’utilisateur, a pu effectuer une demande de « reset » du mot de passe sur le vrai site de PayPal. Celui-ci envoie un code de sécurité par SMS afin de vérifier que la demande de changement de mot de passe est légitime, ce qui a été « prouvé » lorsque Rob a transmis ce code à l’escroc. À ce moment, l’arnaqueur réussit à accéder au contenu du compte PayPal.

Les fausses factures par email

Le terme de « spam », ou pourriel en français, est trop générique pour qu’un utilisateur puisse correctement comprendre la menace. Car, bien qu’il définisse des emails que nous ne souhaitons pas recevoir, il en existe de nombreux types de spam qui devraient être correctement différenciés, tels que les emails d’usurpation d’identité, fraude au directeur, email avec des pièces jointes malveillantes, email avec lien (URL) malveillant, phishing, spearphishing, whaling, etc. Une attaque par email très efficace est celle des fausses factures, où l’escroc envoie un email avec une facture liée à son compte bancaire. Dans la majorité des cas, le hackeur a réussi à acquérir un accès à un compte email ; il attend qu’il y ait une conversation au sujet d’un transfert financier pour ensuite envoyer son compte IBAN personnel (souvent avec le prétexte d’un problème avec le compte habituel). Ces attaques sont tout aussi efficaces contre les PME (qui possèdent peu de processus internes pour valider les transactions) que contre les grands groupes (avec des grandes équipes et de nombreux décideurs sans vision globale).

Il y a moins de deux ans, ZENData a été contacté par une petite fiduciaire genevoise, gérant des fonds de clients de l’Europe de l’Est auprès des banques locales lorsqu’elle a été victime de ce type d’attaque. Des hackeurs avaient piraté ses boites email, puis envoyé des instructions de transferts bancaires sur leur compte pour quelques millions de CHF. Le type d’instruction reçu ressemblait fortement aux transferts habituels et le directeur de la fiduciaire n’était personnellement pas atteignable pour valider le call-back.
Facebook et Google ont également été victimes de fausses factures. L’escroc Evaldas Rimasauskas a facturé aux deux géants de l’internet plus de $100 millions en prétendant être leur fournisseur de matériel Quanta Computer à Taiwan. Evaldas a fait croire à Facebook et Google qu’une compagnie portant le même nom en Europe, et créée de toutes pièces, était une succursale de la compagnie taiwanaise. Bien que ces deux entreprises avaient de nombreux outils en place pour empêcher ce genre d’attaque, Evaldas avait suffisamment de connaissances sur les processus de commande et paiements de ces deux compagnies pour émettre des fausses factures et soustraire de l’argent pendant deux ans.

Les arnaques d’amour

On dit que l’amour rend aveugle ; ceci est d’autant plus vrai lorsqu’on découvre les histoires liées aux arnaques amoureuses. Les escrocs profitent des personnes recherchant des partenaires romantiques, souvent via des sites de rencontre, des applications ou des réseaux sociaux. Ce type de phishing, appelé Catphishing, est un nouveau phénomène par lequel les arnaqueurs créent une présence complète, mais complètement fictive, sur les médias sociaux, en prétendant être des compagnons potentiels. Ainsi, ils manipulent les déclencheurs émotionnels pour mener la victime à lui fournir de l'argent. Généralement, l’escroquerie dure plusieurs semaines ou mois (pendant lesquels l’escroc est très romantique et offre même des petits cadeaux) ; finalement il (ou elle) demandera de l’argent pour une urgence en promettant de le rembourser. Évidemment, l’argent ne sera jamais remboursé.

Roxanne Reed, une femme de 55 ans aux USA, a été piégée par une arnaque amoureuse où elle a été « Catphished ». La famille de Roxanne a commencé à s'inquiéter en découvrant la quantité d’argent qu’elle avait envoyé à son amant et en a averti la police. Pendant la procédure, les forces de l’ordre ont découvert que Roxanne et son amant étaient en train de planifier l’assassinat de la mère de Roxanne, âgée de 88 ans, afin de toucher l’héritage.

Ce qui est particulièrement tragique dans les arnaques amoureuses est que, non seulement la victime perd une grande partie de sa fortune, mais en plus se retrouve le cœur brisé et couverte de honte. L’histoire vraie de Dirty John sur Netflix raconte l’histoire d’une arnaque amoureuse.

Les arnaques d’investissement

Les arnaques d’investissements ont à elles seules fait perdre plus d’argent que toutes les autres arnaques réunies. Il en existe de nombreuses variations, telles que les propositions d’investissement à risque faible mais avec un gain élevé et rapide, ou encore des investissements dans des compagnies pas listées. La majorité de ces arnaques se font encore par téléphone et visent les personnes du troisième âge.

Steve, 65 ans, a été contacté concernant une nouvelle plateforme en ligne de gestion de fonds, spécialement conçue pour les retraités. Un vendeur de la plateforme s’était même rendu chez lui pour lui expliquer le fonctionnement sur son ordinateur ; convaincu, Steve a effectué un virement initial de $10'000 et, voyant sa fortune grandir sur la plateforme, a finalement viré plus de $200'000. Un jour, le site était fermé ; tout l’argent investi avait disparu. Quelques mois plus tard, un avocat le contacte pour l’aider à retrouver ses fonds ; Steve est soulagé… mais ce n’est que pour découvrir que le soi-disant avocat faisait partie de la même équipe d’escrocs, tentant de lui voler encore plus d’argent.

Les escroqueries peuvent être extrêmement rentables pour les criminels et ne leur demandent que très peu de connaissances techniques et d’investissements. Ils sont donc prêts à consacrer du temps pour exécuter leurs attaques efficacement. ZENData voit régulièrement apparaître des faux profils sur LinkedIn, des pop-ups promotionnels sur des sites web, des emails faisant rêver venant d’entreprises établies, etc. tous ayant des buts malveillants.

Détecter une escroquerie n’est pas forcément évident. Certains outils technologiques, tels que des firewalls, peuvent vous aider en bloquant les sites frauduleux ; toutefois, la meilleure défense reste de se montrer sceptique de ce que l’on voit en ligne et de demander autant que possible l’opinion de son entourage avant de prendre une décision qui pourrait coûter très cher…

Tweets de ZENData

RT @SarahJamieLewis: It has come to my attention that @SwissPost are now making statements to swiss media regarding my conduct - Accusing m…
RT @troyhunt: Been breached? Not sure how to blame someone else for it? Help is at hand! https://t.co/TRwuGxzQKC
RT @dragosr: “Siri, Ok Google, Please delete all my emails.” PacSec 2019 Church of Hacking Day 2: Bin Zhao demonstrating CommanderSong, You…
RT @josephfcox: DOJ charges two former Twitter employees for allegedly using their insider access to spy for Saudi Arabia. The likely activ…
RT @SwiftOnSecurity: Enterprise Security: 1.) Pay millions of dollars for security solution 2.) Spend months on implementation 3.) Progress…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: https://www.bilan.ch/auteurs/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

7+13=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.