06.12.2022 - La semaine dernière, 561 signalement sont parvenus au NCSC, ce qui représente de nouveau une diminution par rapport à la semaine précédente. La majorité d'entre eux concernaient des appels téléphoniques par lesquels des escrocs tentent d'accéder à des informations confidentielles. Les personnes à l'origine de ces appels se sont notamment fait passer pour les collaborateurs d'un émetteur de cartes de crédit afin d'obtenir des mots de passe à usage unique.
Hameçonnage par téléphone
Le NCSC reçoit quotidiennement des dizaines d'annonces relatives à des courriels d'hameçonnage.Cependant, d'autres canaux de communication sont également utilisés pour ce type d'escroquerie. Les tentatives d'hameçonnage par SMS ou WhatsApp se font de plus en plus fréquentes mais, d'après les cas signalés la semaine dernière, les appels téléphoniques ne sont pas en reste. L'hameçonnage par téléphone, appelé vishing (de la contraction entre «voice» et «phishing»), est cependant moins répandu que les méthodes d'attaque par écrit. En fait, une conversation téléphonique représente un investissement de temps bien plus important pour les escrocs, sans compter que ces derniers doivent pouvoir s'exprimer dans la langue de leur victime et donc faire preuve d'une grande capacité d'adaptation sur le plan linguistique. En revanche, le taux de réussite du vishing est probablement plus élevé: en effet, la pression exercée sur la personne qui décroche est bien plus forte que par courriel. Elle permet ainsi de pousser la victime à agir immédiatement et de manière souvent irréfléchie.
Dans le cas présent, les escrocs se sont fait passer pour les collaborateurs d'une société de carte de crédit. Les appels étaient en français, mais un cas en suisse-allemand a également été signalé. Le numéro de téléphone affiché avait été falsifié et suggérait que l'appel provenait effectivement du prestataire de services financiers suisse annoncé par le criminel. La falsification de numéros de téléphone est une pratique très répandue dans le cadre des escroqueries les plus diverses, et il n'existe malheureusement aucun moyen, à l'heure actuelle, de reconnaître ou de bloquer un faux numéro.
Il semblerait en outre que les escrocs possèdent déjà les données de carte de crédit de leurs victimes et que leurs appels ont pour seul objectif de connaître le code 3-D Secure transmis par SMS. La protection 3-D Secure consiste à renforcer la sécurité des achats effectués au moyen d'une carte de crédit. À cet effet, elle peut solliciter une confirmation au moyen d'un code envoyé par SMS à l'acheteur.
Afin d'obtenir le code qui l'intéresse, l'escroc prétend par exemple que trois paiements internationaux jugés suspects ont été interceptés et que pour annuler ces transactions, la victime doit lui communiquer les trois codes envoyés par SMS pendant l'appel, prétendument à des fins de vérification. Une fois en possession des codes, le criminel peut effectuer un paiement frauduleux.
Ce procédé permet également aux escrocs d'obtenir d'autres types de mots de passe à usage unique, tels des codes de confirmation pour l'ajout d'un achat à la facture de téléphonie mobile. La méthode de paiement mobile «Direct Carrier Billing» permet en effet de régler les achats en ligne dans des magasins d'applications en inscrivant les montants correspondants sur la facture de téléphone portable. Ces achats doivent cependant être confirmés au moyen d'un code SMS après la saisie du numéro de téléphone. Celui-ci est envoyé à ce numéro, donc à la victime. Si celle-ci lui transmet le code, le criminel peut confirmer le paiement et le montant est inscrit sur la facture du téléphone portable. Les escrocs procèdent souvent à l'achat de cartes-cadeaux pour Google Play et iTunes, car elles peuvent ensuite être échangées contre des espèces.
Cette méthode permet également aux criminels de s'emparer du compte WhatsApp de leur victime, lui aussi protégé par un mot de passe à usage unique. Lorsqu'un agresseur tente de se connecter à un compte WhatsApp en utilisant le numéro de téléphone de sa victime, un code est généré et envoyé au détenteur légitime du compte. Si ce dernier le communique, l'escroc a la possibilité de prendre le contrôle du compte.
Recommandations:
- Ne transmettez en aucun cas des mots de passe ou des codes que vous avez obtenus par SMS, WhatsApp ou d'autres canaux.
- Faites preuve de prudence lors de tout appel téléphonique au cours duquel l'on vous incite à effectuer une action. Répondez que vous n'êtes pas disponible et raccrochez immédiatement.
- Ne communiquez jamais de mot de passe ou de données de carte de crédit, que ce soit par téléphone, courriel, un service de messagerie ou sur un site Internet.
- Si possible, activez l'authentification à deux facteurs. Celle-ci offre une protection supplémentaire pour éviter que votre compte ne soit piraté.
- Rappelez-vous qu'il est aisé de falsifier un numéro de téléphone.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 06.12.2022