L’arnaque qui se cache derrière votre smartphone

« Enlevez-moi tout, mais pas mon smartphone. » En paraphrasant une publicité bien connue, on pourrait attribuer, sans trop se tromper, cette pensée à la majorité de la population, étant donné que le téléphone portable est devenu un outil nécessaire pour effectuer un grand nombre d’activités quotidiennes tout en étant une base de données très précieuse d’informations personnelles.

Le perdre serait pour la plupart d’entre nous l’un des pires cauchemars. En Italie, la part de la population adulte possédant un smartphone atteint 94 %, selon l’étude Digital Consumer Trends Survey 2022 de Deloitte. Un fait qui n’est certainement pas passé inaperçu pour ceux qui font de la cybercriminalité leur métier. Il semble en effet que le smartphone soit devenu l’un des principaux vecteurs d’escroqueries et que, en plus des techniques traditionnelles de phishing, de smishing et de vishing, on ait ajouté récemment l’arnaque perpétrée par QR-code et appelée QRishing.

C’est ce qui ressort du rapport d’APWG qui a mis en évidence au deuxième trimestre 2022 une croissance des fraudes perpétrées depuis les smartphones de 70% par rapport au premier trimestre de l’année, arnaques qui concernent principalement le secteur financier.

Les stars incontestées pour ce type d’appareils sont donc les escroqueries bancaires qui sont mises en place par le biais d’e-mails frauduleux (phishing), de SMS trompeurs (smishing), d’appels téléphoniques de faux banquiers (vishing) et enfin et surtout, de la fraude dite de QRishing.

QRishing – facile à scanner, facile à utiliser

Cette dernière dirige les victimes vers des sites malveillants pour leur voler leurs informations d’accès ainsi que leurs informations financières. Il s’agit essentiellement d’attaques de phishing qui utilisent des codes QR et qui, comme dans le cas des attaques par e-mail, tirent parti de la curiosité du malfaiteur en l’amenant à scanner inconsciemment les codes malveillants.

Les codes QR légitimes des entreprises sont utilisés par les hackers pour rediriger les victimes potentielles vers des sites Web malveillants conçus pour voler leurs informations personnelles et financières, installer des logiciels malveillants sur leurs appareils ou rediriger les paiements vers des comptes sous le contrôle de pirates informatiques.

En raison de la propagation soudaine et généralisée de ce type de fraude, le FBI a inclus l’attaque QRishing sur l’Internet Crime Complaint Center (IC3) en février.

Phishing – la méthode la plus utilisée pour les fraudes relatives aux paiements électroniques

Mais la menace la plus insidieuse et de loin l’arme préférée des pirates informatiques reste le phishing.

C’est ce qu’a confirmé récemment le Threat Landscape 2022, le rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA), dans sa dixième édition qui a été publiée le 3 novembre dernier, en résumant le cadre général de la cybersécurité et les principales tendances observées sur une année.

Il en va de même pour l’Internet Organised Crime Threat Assessment 2021 (IOCTA) publié par l’Office européen de police (EUROPOL) qui confirme que le phishing et l’ingénierie sociale sont les principaux vecteurs d’attaque dans les fraudes liées aux paiements électroniques et au secteur bancaire et financier.

Smishing – le dysfonctionnement du compte bancaire à domicile

Le smishing est une attaque de phishing qui utilise des messages texte plutôt que des courriels. L’escroc envoie donc un SMS, qui a tout l’air de provenir d’une entreprise fiable. Le contenu du message peut concerner un dysfonctionnement du compte de banque à domicile (accès abusif, risque imminent de blocage de la carte, etc.), ou un gain ou un bon d’achat.

Bien sûr, chacun de ces SMS contiendra un lien. En cliquant sur celui-ci, la victime sera redirigée vers un site Web où est affiché un formulaire à remplir avec des données personnelles ou avec les coordonnées de la banque. Toutes les informations qui seront bien sûr transmises aux criminels.

Vishing – le faux banquier

Le vishing, quant à lui, est une méthode de vol d’informations personnelles mise en place par un contact vocal. Le pirate, ou qui que ce soit, appelle la victime en se faisant passer pour un agent d’une banque, d’un bureau de poste, d’une société de santé ou d’une compagnie de téléphone.

C’est une attaque qui commence généralement par un message contenant un numéro de téléphone à contacter, toujours avec l’objectif habituel : convaincre la victime de fournir des informations pour accéder à un compte bancaire ou à son dossier médical ou de télécharger un fichier malveillant (malware) masqué par une mise à jour du système ou du service.

Il s’agit d’un crime particulièrement insidieux, car les escrocs qui le mettent en œuvre agissent sur la sphère émotionnelle de la victime, rappelant l’exigence et l’urgence d’un comportement déterminé rendu nécessaire pour éviter des conséquences graves et imminentes.

Dans les grandes organisations, avec plusieurs bureaux et départements, il est très facile de trouver des victimes qui tombent dans le piège, ouvrant ainsi les portes de tout le patrimoine d’information de l’entreprise aux criminels.

Il convient également de noter que la technologie VoIP (Voice Over IP) permet aux acteurs malveillants de créer des numéros de téléphone virtuels avec des préfixes géographiques (auxquels les gens sont beaucoup plus susceptibles de répondre) ou qui semblent presque identiques à ceux d’entreprises ou d’organisations réelles.

En outre, la technique de spoofing est également utilisée pour masquer l’ID de l’appelant et prétendre que l’appel est généré par un service licite. La probabilité que la victime réponde est élevée car l’appel semble légitime, puisqu’il est identifié par l’ID.
Tout cela rend très difficile de reconnaître l’arnaque depuis notre smartphone et de retrouver l’escroc.

Comment se défendre

Les moyens de se défendre contre ces menaces existent et il est nécessaire de toujours les garder à l’esprit. Tout d’abord, concernant l’expéditeur et les URL, il est important de toujours vérifier les adresses, pour s’assurer qu’il n’y a pas d’erreurs, ce qui susciterait immédiatement la suspicion d’une tentative d’escroquerie. Il vaut mieux en tout cas éviter d’ouvrir des liens dont on n’est pas extrêmement sûr de l’authenticité.

Il est également recommandé de toujours utiliser des mots de passe sûrs et jamais banals ou d’installer un gestionnaire de mots de passe. Mais ces mesures, bien qu’importantes, ne constituent pas une garantie de protection, car c’est toujours le facteur humain qui permet aux criminels de réussir. C’est précisément ce dernier, en effet, le maillon faible de la chaîne, la fissure à travers laquelle s’infiltrent les personnes malintentionnées. Donc, s’il n’y a pas une bonne préparation, une bonne prise de conscience et une posture numérique correcte, il n’y a pas de mot de passe qui tienne. Tôt ou tard, l’attaque arrivera.

C’est pourquoi il est crucial d’être formé, préparé et mis à jour en permanence, tant dans l’entreprise que dans notre vie quotidienne. Non seulement sur la bonne posture numérique lors de l’utilisation des ordinateurs, mais aussi sur celle des smartphones, des appareils dont nous ne nous séparons pratiquement jamais et que nous utilisons désormais pour la plupart des activités quotidiennes.

En savoir plus sur les parcours de formation de Cyber Guru