Parmi les arnaques en vogue et particulièrement lucratives pour les délinquants : le « spoofing ». Derrière cet anglicisme se cache une manœuvre qui consiste pour le pirate du net à tromper ses victimes en se faisant passer pour une personne ou une entité.
Cette usurpation d’identité peut s’appliquer aux courriels, aux appels téléphoniques et aux sites web…
« Bien souvent, l’escroc dispose déjà d’informations sur sa cible »
« Sur votre téléphone apparaît le vrai numéro d’appel de votre banque (qui a été au préalable dupliqué)
À l’autre bout du fil, un homme se présente comme un inspecteur du service de répression des fraudes de votre établissement bancaire. Il vous dit que vous êtes victime d’une attaque, vous donne votre adresse personnelle pour vous mettre en confiance. Bien souvent, l’escroc dispose déjà d’informations sur sa cible. Il vous demande ensuite de vous connecter à votre compte pour contrecarrer les opérations malveillantes. En validant les SMS envoyés, vous donnez au contraire votre accord pour des virements vers l’étranger. Dans d’autres cas, il vous demande vos identifiants et mot de passe ou le numéro de votre carte bancaire pour faire soi-disant opposition. Il prend ainsi la main sur votre argent. »
Couper court à la conversation et ne jamais donner ses identifiants
Les montants détournés partent sur des comptes bancaires frauduleusement souscrits, dits de rebond, ouverts dans divers pays de l’Union européenne, jusqu’à être transférés dans un paradis fiscal.
La sanction est double pour la victime, car en divulguant ses identifiants ou en validant l’opération frauduleuse, elle désengage la banque et perd tout droit au remboursement.
« Depuis six mois, ce type d’infractions est en perpétuelle hausse.
Pour parer ces attaques, il faut couper court à la conversation téléphonique et « contacter directement son chargé de clientèle.
Il vaut mieux perdre quelques secondes que quelques milliers d’euros ! »
Derrière la mise à jour… un faux compte pour capter les données personnelles
Parallèlement, d’autres manœuvres malveillantes déjà éprouvées ont toujours cours. Leur scénario est classique. Un courriel à l’entête de votre banque, de la Sécurité sociale, ou autre, vous signale un problème sur votre compte et vous invite à le régler en cliquant sur un lien contenu dans le message. Ce lien vous amène directement vers la page de connexion de votre espace. Vous entrez en toute confiance vos identifiants. Problème : il s’agit d’un site miroir d’une copie créée par des pirates. Quelques heures plus tard, des virements sont passés à votre insu vers des comptes basés à l’étranger ou des banques en ligne dont les comptes sont ouverts à l’aide de documents d’identité falsifiés.
« Le darknet est un puits sans fond »
Une autre variante consiste en des SMS sollicitant la mise à jour de votre compte Améli, de votre compte Netflix, de votre compte de formation professionnelle… La victime est réorientée vers des sites pirates dont le but est de collecter un maximum d’informations afin d’enrichir les fichiers clients du darknet, prémices d’une usurpation d’identité, et donc de très nombreux déboires. « Le darknet est un puits sans fond, c’est le tonneau des Danaïdes »
Quelques règles élémentaires
Pour éviter les déconvenues, la gendarmerie rappelle quelques règles élémentaires : « Ne pas ouvrir sa porte à un inconnu. Ne donnez aucun renseignement personnel par téléphone. Gardez à l’esprit que votre banque ne vous sollicitera jamais pour communiquer des informations confidentielles par téléphone ou e-mail, en particulier un identifiant, un mot de passe ou un numéro de compte. En cas de doute, ne cliquez sur aucun lien, n’ouvrez pas les pièces jointes. Limitez la diffusion d’informations sur les réseaux sociaux. L’absence de la mention « https » dans l’adresse internet du site visité ou du cadenas signifie que la connexion n’est pas sécurisée »
« Le propre d’un escroc est de paraître gentil, bienveillant, de bien s’exprimer. Son fonds de commerce, c’est la crédulité… »
Alors attention, il faut rester sur vos gardes.