Invisible, silencieux et terriblement efficace, le « ghost taping » est la nouvelle forme d’arnaque qui plane sur les smartphones. Elle permet à des pirates de prendre le contrôle de votre smartphone sans que vous vous en rendiez compte. À distance, un cybercriminel peut se servir de l’écran tactile comme s’il avait votre téléphone entre ses mains…
LexisNexis Risk Solutions, une société spécialisée dans l’analyse des risques numériques et de la criminalité financière, vient de publier un nouveau rapport. Celui-ci dresse un état des lieux complet sur la cybercriminalité et l’évolution des fraudes en 2025.
L’une des tendances qui émerge du rapport est le « ghost tapping », qu’on peut traduire par « tapotement fantôme » ou « touche fantôme ». Comme nous l’explique LexisNexis Risk Solutions, « il s’agit d’un nouveau type d’attaque numérique où votre smartphone enregistre des touches “fantômes”, c’est-à-dire des actions qui se produisent sur votre écran sans que vous ne le touchiez physiquement ».
À lire aussi : 183 millions d’adresses mail et de mots de passe piratés – comment savoir si vous êtes touché par cette fuite massive ?
Messages frauduleux et cheval de Troie
Comme souvent, l’offensive commence par l’envoi d’un SMS ou d’un mail. Ce message, en provenance de cybercriminels, contient un lien malveillant. Pour berner leurs cibles, les pirates peuvent concevoir un faux avis de livraison ou un message de vérification de compte bancaire. Tout est bon pour que la victime ne réfléchisse pas trop et clique sur le lien.
Ce lien va déclencher l’installation d’un logiciel malveillant sur le smartphone. Il s’agit d’un cheval de Troie qui permet à un pirate de prendre le contrôle total d’un appareil à distance, sans que l’utilisateur se rende compte de l’attaque. Une fois que le virus est activé, les attaquants prennent le contrôle de votre smartphone.
C’est comme si le pirate avait votre téléphone entre ses mains. Il peut consulter toutes vos applications, modifier les paramètres, changer les identifiants de vos comptes pour vous exclure, ou encore acheter des produits à votre place ou faire des transactions bancaires. En d’autres termes, c’est une catastrophe pour vos finances et votre vie privée.
À lire aussi : Gare à l’email-bombing, une vielle arnaque remise au goût du jour par les pirates
Une forme d’attaque en hausse
Le rapport souligne que les attaques de « ghost taping » sur les applications mobiles et les paiements frauduleux sont en hausse cette année. En fait, « près d’un tiers des fraudes mondiales (27 %) sont des prises de contrôle de comptes », souligne LexisNexis Risk Solutions. Par ailleurs, les paiements frauduleux, orchestrés par des pirates ayant compromis un compte, ont augmenté de 14 %. La « majorité des attaques se produisent désormais via les applications mobiles ».
L’augmentation du « ghost taping » coïncide avec l’explosion des attaques visant les smartphones. Devenus omniprésents, les smartphones sont clairement devenus la cible principale des cybercriminels. Le téléphone s’est peu à peu imposé comme l’outil de paiement principal des internautes. Sur mobile, une attaque de type « ghost taping » est aussi plus facile à mettre en place que sur un ordinateur.
Pour passer inaperçu, les pirates font tout pour que leur logiciel malveillant simule la manière dont un être humain tape sur le smartphone. Cette tactique permet de contourner les logiciels de détection de la fraude, notamment implémentés par les banques. Les fraudeurs utilisent des méthodes avancées pour simuler un comportement très proche de celui d’un utilisateur réel, comme des frappes aléatoires ou une cadence hachée. C’est l’astuce principale utilisée par un malware comme Herodotus, que nous avons évoqué récemment dans nos colonnes.
Les chercheurs conseillent de ne jamais cliquer sur des liens non sollicités, qu’ils soient reçus par SMS, par mail ou sur les réseaux sociaux. Si vous pensez que votre compte a pu être compromis, changez immédiatement votre mot de passe. En cas d’activité suspecte sur l’un de vos comptes, contactez sans attendre votre banque. En France, la loi impose aux banques de rembourser toute opération frauduleuse. Si un prélèvement a été effectué sans votre autorisation, la banque est tenue de vous rembourser, sans attendre les résultats d’une éventuelle enquête. Cependant, il est essentiel de signaler toute opération suspecte dans un délai maximum de treize mois après les faits. Passé ce délai, aucun remboursement ne pourra être exigé, même si la fraude est avérée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.