Drôle de mésaventure pour ce trentenaire parisien, dont vient d’avoir connaissance ZDNet.fr. Cet automne, ce jeune homme reçoit un appel de sa banque. On lui demande s’il est en Chine, où l’établissement bancaire a repéré des mouvements financiers suspects. Mais pas du tout ! Le trentenaire reste cependant sur ses gardes. L’appel venant d’un téléphone mobile, il demande à se faire rappeler de la ligne officielle de la banque, ce que fait aussitôt son correspondant.
Mis en confiance, on lui explique, après lui avoir présenté la procédure pour faire opposition, qu’un taxi va venir récupérer sa carte bancaire à domicile pour la « dématérialiser ». Le chauffeur lui dira que c’est la quatrième carte ainsi récupérée dans la journée.
Dans la foulée, son compte est débité de 3 000 euros et un paiement de plus de 1 300 euros est lancé : c’était en fait une arnaque.
Le phishing se transforme
Si l’histoire ne se termine pas trop mal pour la victime, qui a été remboursée par sa banque, elle illustre la façon dont le phishing se réinvente. Car pour notre trentenaire parisien, selon ses investigations, tout est sans doute parti d’un faux SMS de l’assurance maladie lui annonçant, quelques jours après le vol de son portefeuille, la disponibilité de sa nouvelle carte Vitale. Avec un lien vers un faux site, instruction-ameli.fr, déjà mentionné sur le site Signal-arnaques.
Si le terme de hameçonnage a été inventé au début des années 2000, les spécialistes observent l’apparition de nouvelles méthodes pour tromper des victimes. A la fin de l’été 2022, un internaute avait par exemple dévoilé une arnaque au faux avis de passage de La Poste particulièrement élaborée. Ce dernier avait reçu un courrier très crédible dont le lien et le QR code dirigeaient ensuite vers un site malveillant.
Faux SMS et faux appels vocaux
Autres évolutions déjà surveillées par des chercheurs en sécurité informatique : les SMS, avec les arnaques à la fausse livraison de colis. Poussées par les confinements et l’augmentation des livraisons à domicile, ces arnaques visent à détrousser les victimes de petites sommes d’argent pour l’affranchissement du faux colis, permettant aux escrocs de récupérer au passage des données personnelles. L’attaque par phishing n’est qu’un apéritif. Les pirates informatiques vont dans un deuxième temps lancer leur escroquerie ou tenter de prendre le contrôle du système d’information visé, par exemple.
De même, les faux appels vocaux ont également fait leur apparition. Ces deux types d’attaques ont une logique très différente. « Le faux SMS, c’est de la pêche au gros », souligne Loïc Guezo, l’un des cadres de Proofpoint, une entreprise spécialisée dans la sécurité du courrier électronique. Au contraire, les faux appels téléphoniques vont reposer sur des centres d’appel et « des scénarios très élaborés », remarque-t-il.
L’e-mail reste privilégié
Pour autant, le vecteur principal d’attaque par hameçonnage reste toujours l’e-mail, avec des outils malveillants disponibles à la location. « Il y a toujours des campagnes de masse, mais on observe également des campagnes plus ciblées qui ne concernent qu’une quinzaine de personnes, de véritables frappes chirurgicales par e-mail » précèrécédent des attaques par rançongiciel ou des opérations d’espionnage, observe Loïc Guezo.
Comme le relève également le spécialiste de la protection de la messagerie Vade Secure, les attaques par hameçonnage ne faiblissent d’ailleurs pas, avec une hausse constatée d’environ un tiers sur le dernier trimestre. Certes, ce nombre d’e-mails malveillants envoyés peut varier, remarque Vade Secure, mais il montre que l’activité malveillante est forte sur ce vecteur.
Grands événements
Pour convaincre les victimes de rentrer dans l’escroquerie, des conversations jouent sur la longueur, avec plusieurs échanges, pour créer de la confiance. La pièce jointe malveillante, qui va activer une charge virale ou déclencher le téléchargement d’un script, se fait également plus discrète. Les attaquants lui préfèrent par exemple le lien intégré directement dans le message. Avec l’emploi d’un raccourcisseur d’URL, cela peut compliquer l’identification du site pointé. Ce type d’e-mail, même s’il est désormais anticipé par les sociétés spécialisées, peut passer plus facilement certains contrôles, la charge malicieuse étant hébergée ailleurs.
Mais il reste des fondamentaux qui ne changent pas. Ainsi, les cybercriminels tentent toujours de crédibiliser leurs escroqueries en s’appuyant sur actualité, comme début octobre avec la Coupe du monde du football. En e, let Les chercheurs de la société de cybersécurité Trellix ont observé à cette période un doublement de l’envoi d’e-mails malveillants dans les pays arabes.
Même si vous êtes fan de foot, il faut vous faire une raison : il est très improbable que ce soi-disant partenaire officiel de l’événement vous envoie un formulaire à remplir pour obtenir des tickets gratuits.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));