Semaine 46: courriels d’hameçonnage faisant miroiter un droit au remboursement de l’impôt et hameçonnage de portefeuilles de cryptomonnaie

21.11.2023 - La semaine dernière, le NCSC a reçu une série de signalements concernant des courriels d’hameçonnage. Les clients de prestataires de services de livraison, de téléphonie ou de transport sont encore et toujours dans la ligne de mire des escrocs. Dans cette nouvelle rétrospective hebdomadaire, vous en apprendrez plus sur deux tentatives d’escroquerie par hameçonnage peu courantes.

Prétendu droit au remboursement de l’impôt

Les personnes visées reçoivent un courriel prétendant qu’elles ont effectué un versement excédentaire et qu’elles ont par conséquent le droit à un remboursement de la part de l’Administration fédérale des contributions. L’illustration ci-dessous montre à quoi peut ressembler un tel courriel. Le nom de l’expéditeur, qui ne correspond en rien à celui de l’Administration fédérale des contributions, éveille toutefois les soupçons. Même si les personnes visées sont susceptibles d’ignorer le nom du domaine exact de l’Administration fédérale des contributions, elles savent que les services et les pages Internet de la Confédération se trouvent toujours sous admin.ch, et non sous *.com.

Courriel frauduleux émanant prétendument de l’Administration fédérale des contributions
Courriel frauduleux émanant prétendument de l’Administration fédérale des contributions

En passant le curseur de la souris sur le lien (sans cliquer), l’URL menant vers le lien s’affiche. Là encore, l’URL ou le domaine cible n’a aucun rapport avec l’Administration fédérale des contributions. L’une seule de ces caractéristiques (expéditeur ou URL) doit suffire à mettre la puce à l’oreille de la personne visée.

En examinant le courriel de plus près, on peut constater que les escrocs ont commis plusieurs erreurs:

  • l’Administration fédérale des contributions n’est pas une Sàrl ni une SA;
  • un éventuel remboursement s’opérerait en francs suisses, et non en euros;
  • la qualité de rédaction du courriel ne correspond pas à celle d’un message officiel qui émanerait d’une autorité.

Que se passe-t-il si la personne visée clique sur le lien? Une page Internet qui tente d’imiter celle du service «eIAM» s’ouvre alors. eIAM est le système central de gestion des accès et des autorisations de l’administration fédérale pour les applications Web.

Le courriel d’hameçonnage contient un lien menant à un faux portail de connexion eIAM.
Le courriel d’hameçonnage contient un lien menant à un faux portail de connexion eIAM.

Il s’agit là d’une étape intermédiaire. Dès lors que la personne visée a renseigné son adresse de messagerie électronique, une fenêtre s’ouvre et il lui est demandé d’indiquer les données de sa carte de crédit. La procédure d’identification sur le véritable service eIAM requiert au moins un mot de passe.

Les escrocs tentent d’obtenir les données de la carte de crédit au moyen du faux portail eIAM.
Les escrocs tentent d’obtenir les données de la carte de crédit au moyen du faux portail eIAM.

Pour que le processus frauduleux suive son cours, la personne visée doit saisir son numéro de carte de crédit et le code CVV, ce qui en dit long sur les intentions des escrocs.

À ce stade au plus tard, la personne visée doit se rendre compte de la supercherie. Dans le cadre d’un véritable remboursement, elle devrait non pas fournir son numéro de carte de crédit, mais celui de son compte IBAN (numéro de compte).

Les escrocs ne s’arrêtent pas là: pour procéder au prélèvement, ils ont encore besoin que le propriétaire légitime de la carte leur fournisse le code de confirmation, qui est souvent transmis par SMS sur le téléphone mobile du propriétaire.

Afin d’obtenir le deuxième facteur d’authentification, les escrocs ont construit de toute pièce un faux formulaire.
Afin d’obtenir le deuxième facteur d’authentification, les escrocs ont construit de toute pièce un faux formulaire.

Une fois en possession de toutes ces données, les escrocs peuvent prendre le contrôle de la carte de crédit et peuvent ainsi acheter des choses au nom de la victime.

Hameçonnage de portefeuille de cryptomonnaie

Les courriels envoyés au nom du prestataire de services financiers Swissquote ont fait parler d’elles la semaine dernière. En effet, certaines personnes ont reçu un lien les invitant à relier leur portefeuille de cryptomonnaie à l’établissement financier par mesure de sécurité.

Un simple coup d’œil sur l’URL révèle que ce lien ne mène pas vers Swissquote.
Lorsque l’on clique sur «Connect», un menu s’ouvre, affichant divers prestataires de services dans le domaine des cryptomonnaies.

Image de gauche: faux site Internet de Swissquote. Image de droite: les escrocs tentent de se connecter au portefeuille de la victime.
Image de gauche: faux site Internet de Swissquote. Image de droite: les escrocs tentent de se connecter au portefeuille de la victime.

L’objectif des escrocs est d’accéder au contenu du portefeuille de l’utilisateur. Pour y parvenir, ils ont besoin de la «seed phrase», également connue sous le nom de «phrase de récupération». Composée d’une chaîne de 12 ou 24 mots aléatoires, elle permet au propriétaire de récupérer l’accès à son portefeuille en cas de perte de sa clé personnelle. Cette seed phrase doit donc être soigneusement conservée et en aucun cas partagée. Elle constitue la clé permettant aux escrocs de prendre la main sur le portefeuille de cryptomonnaie d’un utilisateur et donc sur sa fortune.

Aucun établissement financier ne vous demandera de partager votre seed phrase.
Aucun établissement financier ne vous demandera de partager votre seed phrase.

Conseils pour reconnaître les messages d’hameçonnage

En règle générale, ne saisissez jamais de mots de passe, codes ou données de carte de crédit sur un site Internet auquel vous avez accédé en cliquant sur un lien reçu par courriel ou par SMS.

Pour contrôler de la véracité d’un message, il suffit souvent de se limiter aux caractéristiques typiques d’un message. Quelques secondes d’attention suffisent pour déceler un message frauduleux:

  1. l’adresse électronique de l’émetteur: elle peut être falsifiée assez facilement. Dans un courriel authentique, le domaine de l’adresse électronique indiqué dans le champ «expéditeur» doit correspondre aux données de contact qui figurent souvent à la fin du corps du message.
  2. Le lien d’hameçonnage: le texte affiché peut induire en erreur. Il convient donc de passer la souris sur le lien (sans cliquer dessus) pour voir vers quelle page le lien renvoie vraiment. S’il s’agit d’un domaine qui n’a visiblement rien à voir avec l’expéditeur, ne cliquez pas sur le lien.
  3. Les éléments graphiques et textuels: des logos qui ne sont pas adaptés ou faux, des formules d’appel et de salutation étranges, un mélange de plusieurs langues et un style bancal: tous ces éléments sont les signes d’un expéditeur malintentionné.

Autres conseils:

  • vérifiez l’authenticité du message grâce aux trois points évoqués ci-dessus;
  • ne saisissez jamais de mots de passe, codes ou données de carte de crédit sur un site Internet auquel vous avez accédé en cliquant sur un lien reçu par courriel ou par SMS;
  • ne partagez jamais de codes que vous avez reçus par SMS;
  • seul votre IBAN, et non votre numéro de carte de crédit, est requis pour effectuer un virement bancaire ordinaire;
  • en cas de doute, adressez-vous directement au prestataire concerné en lui demandant des détails au sujet du message. pour ce faire, n’employez pas le numéro de téléphone indiqué dans le courriel ou le message, mais cherchez le véritable numéro du prestataire sur le web;
  • vous pouvez signaler tout message d’hameçonnage auprès du NCSC (https://www.report.ncsc.admin.ch/);
  • si vous avez communiqué les données de votre carte de crédit, adressez-vous immédiatement à l’émetteur de la carte afin qu’il puisse la bloquer;
  • en cas de perte financière, portez plainte auprès de la police cantonale compétente.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 21.11.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_46.html