Semaine 1 : Variantes d’arnaque au faux support technique

09.01.2024 - Les précédentes rétrospectives hebdomadaires ont déjà présenté les différentes variantes par lesquelles des escrocs tentent d’obtenir un accès direct à votre appareil. Cette semaine, nous allons vous présenter un autre mode perfide.

Les origines

Pendant des années, le phénomène appelé « arnaque au faux support technique » (fake support) a surtout connu un modus operandi : des numéros de téléphone aléatoires sont appelés de manière non ciblée via des centres d’appel étrangers. En anglais (rarement en allemand ou en français), la personne appelée est informée que son ordinateur est infecté et qu’il doit être nettoyé. Ces appels n’ont pas disparu, mais ont diminué - la tentative d’escroquerie est manifeste et, du côté des escrocs, les dépenses sont importantes - en effet, chaque appel est déclenché et traité personnellement par un agent du centre d’appel.

L’évolution

Les escrocs ont automatisé l’appel initial afin de minimiser leurs dépenses. Seules les personnes appelées qui suivent le texte d’annonce automatique (« appuyez sur la touche 1 ») sont ensuite mises en relation avec un agent frauduleux. Cette variante a été responsable l’année dernière du nombre élevé de messages reçus par le NCSC, aujourd’hui OFCS.

Une variante en Suisse romande

Une autre variante de ce schéma d’escroquerie cache très probablement un autre groupe d’auteurs - mais l’objectif est le même : l’installation d’un logiciel de contrôle à distance sur l’appareil de la victime, afin que les criminels obtiennent finalement l’accès à des applications ou informations de paiement (e-banking, cartes de crédit).

Dans ce cas, ce n’est pas le malfaiteur qui appelle la victime potentielle, mais l’inverse. Une fenêtre contextuelle (« pop-up ») s’affiche à l’écran et suggère à la victime que son appareil est infecté ou bloqué et qu’il doit être nettoyé par des spécialistes. Un numéro de téléphone suisse est également fourni, à composer immédiatement.

Exemple de fenêtre contextuelle sur l’appareil.
Exemple de fenêtre contextuelle sur l’appareil.

Cette fenêtre contextuelle est parfois même accompagnée d’un son d’alarme ou d’un message vocal indiquant le prétendu danger. Cela exerce une pression supplémentaire. Dans ces cas, l’ordinateur n’est pas en danger et un simple redémarrage du navigateur ou de l’appareil résout le problème.

Mais si l’on appelle le numéro indiqué, un prétendu collaborateur du service d’assistance se présente, généralement en français. Celui-ci contrôle l’appareil de la victime via le programme de contrôle à distance qu’elle a elle-même installé. Ensuite, il est par exemple demandé de se connecter à l’e-banking pour payer la prétendue prestation d’assistance. Les malfaiteurs ont alors un accès total et peuvent effectuer des virements sur leurs propres comptes.

Il est également possible d’installer un logiciel malveillant, par exemple un enregistreur de frappe (keylogger), afin d’espionner les autres données saisies par la victime. Imaginons en outre qu’un fichier du nom de « mes_mots_de_passe.doc » se trouve sur le bureau de la victime - il serait alors facile pour les malfaiteurs d’en faire une copie.

Il est intéressant de noter que jusqu’à présent, les informations relatives à ces incidents provenaient le plus souvent de Suisse romande. Apparemment, les fenêtres contextuelles ne sont diffusées que dans cette région ou ne sont actives que si le navigateur est en langue française.

Cause et prévention

Avec un numéro d’appel suisse, peut-on supposer que les auteurs sont basés en Suisse et qu’ils peuvent être identifiés ? Malheureusement, ce n’est pas le cas, car ce sont des numéros Skype qui sont utilisés la plupart du temps et l’origine réelle est ainsi dissimulée. En envoyant un message à l’OFCS (https://www.report.ncsc.admin.ch/fr/), accompagné d’une capture d’écran de la fenêtre contextuelle, il est généralement possible de faire rapidement désactiver le numéro d’appel via les fournisseurs de télécommunications.

Mais d’où proviennent ces fenêtres contextuelles ? En règle générale, ce sont des sites web piratés ou des publicités frauduleuses qui mènent à ces pop-ups frauduleux par le biais de redirections. La victime clique donc uniquement sur un lien qui ne semble pas suspect, par exemple dans un spam ou lors d’une recherche sur Google.

Recommandations

  • Ne laissez pas des inconnus vous pousser à installer quelque chose sur votre appareil.
  • Ne permettez pas à des inconnus d’accéder à distance à votre appareil.
  • Si vous voyez une fenêtre contextuelle, faites une capture d’écran (même avec votre téléphone portable si nécessaire) et envoyez-la à l’OFCS.
  • Vous pouvez ensuite fermer le navigateur ou simplement redémarrer l’appareil.
  • Si vous avez déjà accordé un accès à distance, il est possible que votre ordinateur ait été infecté. Dans un premier temps, désinstallez le programme d’accès à distance.
  • Si vous soupçonnez une infection, faites immédiatement examiner votre ordinateur par un spécialiste qui pourra, le cas échéant, le nettoyer. La variante la plus sûre est de procéder à une réinstallation complète de l’ordinateur.
  • Si vous avez fourni des données de carte de crédit, contactez immédiatement votre société de carte de crédit afin de faire bloquer la carte.
  • N’effectuez pas d’opérations bancaires ou d’achats en ligne avec votre carte de crédit sur l’ordinateur concerné tant que vous n’êtes pas certain que l’ordinateur ne comporte plus aucun logiciel malveillant.
  • Changez tous les mots de passe que l’appelant a pu obtenir en accédant au logiciel de contrôle à distance.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 09.01.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2024/wochenrueckblick_1.html