Brigade des mineurs, faux SMS, Apple Pay... Les arnaques en ligne les plus populaires du moment
Le dispositif national d'assistance et de prévention contre la cybermalveillance dresse auprès de RTL un panorama des principales cybermenaces auxquelles font face les Français depuis le début de l'année.
Quelles sont les arnaques en ligne les plus courantes ces derniers mois ? La plateforme gouvernementale Cybermalveillance dresse auprès de RTL un état des lieux des principales cybermenaces auxquelles sont confrontés les Français depuis le début de l'année 2022.
Lancé en 2017 pour venir en aide aux victimes d'infractions numériques, sensibiliser le public aux risques cyber et répertorier les différentes menaces, ce site public constitue aujourd'hui le principal dispositif d'assistance aux particuliers victimes d'escroqueries en ligne au niveau national.
L'an passé, la plateforme a été consultée par près de 2,5 millions d'internautes et 173.000 personnes s'y sont connectées pour demander formellement de l'aide. L'analyse de son dispositif d'assistance en ligne est un bon indicateur des modes opératoires privilégiés par les cybercriminels depuis le mois de janvier.
Le phishing, reine des escroqueries en ligne
Parmi la cinquantaine d'infractions commises par voie numérique qui sont traitées par cet outil, la plus importante est sans surprise le hameçonnage, ou phishing. La plateforme a reçu 18.000 demandes d'assistance de particuliers depuis le début de l'année et qui a donné lieu à plus de 450.000 consultations de la page Web dédiée.
Bien connu des Français qui l'expérimentent depuis plusieurs années désormais, le hameçonnage consiste en des SMS, mails ou appels frauduleux conçus pour tromper la victime et l'inciter à partager des informations personnelles ou bancaires en se faisant passer pour un intermédiaire de confiance. Il revêt de nombreuses formes et rebondit régulièrement sur les grands thèmes de l'actualité, du Covid aux impôts, en passant par les temps forts promotionnels, les résultats de loteries ou les rendez-vous médicaux.
Les fausses convocations de la brigade des mineurs, première cause de phishing
L'an passé, les 10 principales formes de phishing avaient représenté près de 80% des recherches d'assistance sur la plateforme Cybermalveillance. Le site distingue cette année plusieurs arnaques qui peuvent être assimilées à du phishing mais dont l'ampleur incite à les traiter de façon spécifique. La plus importante des derniers mois écoulés est l'escroquerie dite à l'infraction pédopornographique. 17.000 personnes ont demandé de l'aide à ce sujet depuis janvier et la page consacrée à cette arnaque a été consultée plus de 430.000 fois.
Cette catégorie recouvre les fausses convocations de la brigade de protection des mineurs adressées par mail dans lesquelles les escrocs demandent à leur victime de prendre contact avec un officier pour payer une amende et obtenir un accord leur permettant d'éviter des poursuites et la révélation de leur nom dans la presse. "C'est la première cause de phishing cette année. Loin devant les escroqueries à la carte Vitale, en train d'être comptabilisées comme une catégorie à part car ça n'arrête pas depuis le début de l'année. Et très loin devant les SMS de livraison ou les arnaques au compte formation", explique Jean-Jacques Latour, directeur expertise cybersécurité Cybermalveillance, joint par RTL.
Popularisé il y a deux ans, le phénomène était rentré dans le rang jusqu'à cet été où les équipes de Cybermalveillance ont constaté une hausse des consultations de la page Internet dédiée. "Les autorités communiquent beaucoup sur le sujet. Mais ça fait toujours pas mal paniquer les gens. La gendarmerie a recensé deux suicides avérés de personnes victimes de cette arnaque et plusieurs tentatives de suicide en lien avec ce sujet. Face à la peur de l'erreur judiciaire, beaucoup de victimes sont prêtes à payer pour étouffer l'affaire. Le montant des amendes est d'ailleurs considérable, parfois jusqu'à 7.000 euros à régler en cartes prépayées de 500 euros", précise l'expert, qui donne quelques pistes pour ne pas tomber dans le panneau : "La police ne va pas vous contacter si vous êtes vraiment accusé de ce genre de pratique. Elle va venir vous cueillir chez vous à 6h du matin. Et on ne règle jamais une amende en coupons PCS".
Recrudescence du chantage à la webcam
Viennent ensuite les piratages de comptes en ligne (13.000 demandes d'assistance et 175.000 pages vues), les violations de données personnelles (9.000 demandes d'assistance, pas encore de page Web dédiée), les escroqueries au faux support technique (7.000 demandes d'assistance, 132.000 pages consultées) et le cyberharcèlement (3.000 demandes d'assistance, 6.000 vues sur la page créée en septembre). Des arnaques classiques qui figuraient déjà en bonne place parmi les grandes tendances observées en 2021.
Les autorités mettent aussi en garde les particuliers contre une recrudescence des "sextorsions", les escroqueries basées sur le chantage à la webcam prétendue piratée. Identifié en 2019, le phénomène avait donné lieu à une communication nationale pour sensibiliser le public à cette arnaque massive consistant à dire à la victime que ses mots de passe ont été interceptés, qu'elle a été surprise en train de visiter un site pornographique et qu'elle doit payer un certain montant pour que le film compromettant ne soit pas diffusé à ses proches.
Cette technique est la septième cybermenace répertoriée depuis le début de l'année avec 2.200 demandes d'assistance et plus de 65.000 consultations de la page Web dédiée sur le site du gouvernement, juste devant les arnaques au compte personnel de formation. "On sait qu'il y a des gens qui paient car on surveille les portefeuilles en bitcoin qui sont proposés aux victimes pour régler le paiement", explique Jean-Jacques Latour. Pour paraître crédibles, les pirates ont tendance à divulguer le mot de passe de leurs victimes dans leur mail de menace. "Mais il s'agit souvent de vieux mots de passe qui ont été collectés lors de précédentes fuites de données", souligne l'expert.
Carte Vitale, colis, Apple Pay... Le SMS, vecteur et cible privilégiée des arnaques
L'un des modes de diffusion de ces escroqueries a pris une ampleur très importante ces derniers mois. Plus que le mail ou le téléphone, "le SMS est aujourd'hui le vecteur principal du phishing. Il a l'avantage de reposer sur un texte court, de donner lieu à moins de fautes et de rendre plus difficile le contrôle de l'authenticité d'un message qu'avec une URL. Les liens renvoient directement vers de faux sites qu'il est de plus en plus difficiles de reconnaître avec la professionnalisation des kits de phishing", explique Jean-Jacques Latour.
Les escroqueries les plus populaires par SMS sont sans surprise les messages prétextant une livraison de colis ou un renouvellement de carte Vitale. L'arnaque à la carte Vitale, qui disposera bientôt d'une catégorie à part sur la plateforme Cybermalveillance, permet aux escrocs de récupérer des numéros de sécurité sociale et d'autres informations personnelles qui sont ensuite utilisées pour mener de nouvelles escroqueries, comme l'arnaque à la carte bancaire.
"Derrière, les gens sont appelés par un faux conseiller bancaire qui leur demande s'il s'agit bien de leur identité, de leur numéro de téléphone et de carte vitale. Ils se font passer pour un service antifraude qui va les aider à bloquer des débits frauduleux et leur envoient des codes par SMS qu'il faut donner pour bloquer les prétendues transactions. Ce sont en réalité des codes qui valident des achats. Aujourd'hui, le seul fait de posséder un numéro de carte bancaire n'est pas suffisant pour les escrocs avec la double authentification, alors ils appellent directement les victimes pour obtenir les codes de confirmation par SMS", souligne Jean-Jacques Latour. Des personnalités comme Dominique Strauss-Kahn ou Michel Drucker en ont notamment fait les frais.
Une fois en possession de données bancaires, les escrocs peuvent aussi tenter de lier une carte bleue à un compte Apple Pay sur iPhone, qui leur permettra de réaliser des achats en ligne ou sans contact avec un plafond élevé autorisé. De plus en plus observée, cette arnaque utilise les mêmes ressorts que les précédentes : faux conseiller bancaire, suspicion de fraude, livraison de colis, carte Vitale... Tous les prétextes sont bons pour tenter d'intercepter le SMS de confirmation de la banque permettant d'activer le compte. Les cybermalfaiteurs disposent même de logiciels capables d'automatiser l'envoi de faux SMS officiels pour maximiser leurs chances de succès.
Plus largement, les professionnels constatent que les cybercriminels exploitent désormais beaucoup plus rapidement les données qu'ils collectent. "Avant, il pouvait se passer plusieurs mois entre la perte d'un mot de passe ou d'un numéro de sécurité sociale et son utilisation dans une arnaque ciblée. Aujourd'hui, ça peut se produire dans les deux jours qui viennent sur les arnaques à la carte Vitale ou au faux conseiller bancaire. Ce qui permet parfois aux victimes de faire le lien", explique Jean-Jacques Latour, qui rappelle qu'en informatique, la sécurité absolue n'existe pas. "Le numérique fait gagner du temps, mais il génère aussi des risques et comme la protection absolue n'existe pas, la vigilance s'impose".
- Plan de sobriété : le gouvernement veut pousser les Français à mettre en veille leur box Internet
- La carte Vitale testée sur smartphone en fin d'année : à quoi va-t-elle servir ?
- RTL a testé FIFA 23 : le roi des jeux de foot est-il enfin plus réaliste ?
- Compteurs Linky : Enedis va-t-il couper votre ballon d'eau chaude à distance cet hiver ?
