Arnaques au téléphone et sur internet : attention aux pièges tendus par les escrocs 2.0

Il ne se passe pas une semaine sans qu’on entende parler d’une nouvelle arnaque par téléphone ou sur Internet. Le Dimanche\L’Hebdo a interrogé des victimes mais aussi des professionnels afin de faire le point sur les pièges à éviter.

Avec les nouvelles technologies, les escrocs disposent de nouveaux outils pour soutirer de l’argent à leurs victimes. Tous les moyens sont bons pour se faire de l’argent malhonnêtement, notamment par téléphone. Jean-Claude (prénom modifié) en a déjà été victime. Il a reçu, il y a un mois, un appel sur son cellulaire depuis un numéro local. La personne au bout du fil lui a dit que son numéro de téléphone avait été tiré au sort dans la base de données de son opérateur téléphonique. Il aurait remporté une remise de 50 % sur des cours en informatique dispensés par une société locale. « La personne m’a demandé mon nom. Comme j’étais méfiant, je lui ai répondu que je n’avais aucune raison de le lui donner. Elle m’a alors raccroché au nez. J’ai compris que c’était une arnaque, car rien n’est totalement gratuit », précise Jean-Claude.

Expérience plus ou moins similaire vécue par Maria (prénom modifié). Début décembre, elle a reçu un appel à travers l’application de messagerie Viber. « Vous recevez un appel sur Viber et vous pensez que c’est quelqu’un d’une banque réputée du pays, car le nom de celle-ci s’affiche. Mais quand vous prenez l’appel, vous tombez sur un homme avec un accent indien. Il dit que vous avez remporté un million d’euros (environ Rs 40 millions ; NdlR). Il vous félicite. Il répète la même phrase. Puis il vous demande à quelle banque vous avez un compte pour qu’il puisse faire le versement. On entend beaucoup de bruit en arrière-plan. On entend d’autres personnes passer les mêmes appels. Quand je lui demande d’où il appelle, il ne répond pas, se contentant de répéter son message. C’est là que j’ai compris qu’il s’agissait d’une arnaque et j’ai raccroché », raconte Maria.

Elle souligne qu’elle reçoit parfois des appels de l’étranger. Elle n’est d’ailleurs pas la seule. Cela fait plusieurs années que nombre de Mauriciens reçoivent des appels en absence (missed calls) sur leurs téléphones portables depuis des numéros avec des préfixes étrangers. L’appelant ne laisse pas le temps au destinataire de répondre à l’appel. Il espère ainsi que sa victime le rappellera. Lorsque c’est le cas, l’arnaqueur parvient à détourner le coût de l’appel international. Les opérateurs téléphoniques mauriciens connaissent bien ce phénomène. Ils émettent régulièrement des mises en garde.

Une source au sein d’un opérateur téléphonique local avait expliqué dans un précédent article comment procèdent les escrocs. « Il s’agit en fait de prestataires de services qui opèrent légalement dans leurs pays. Ils ont des accords avec des opérateurs téléphoniques de leurs pays pour recevoir des commissions sur les appels depuis l’étranger. Ces appels sont alors surtaxés. Nous dressons au fur et à mesure une liste de ces numéros et nous les bloquons. Mais le meilleur moyen de se protéger est de ne pas rappeler de numéros étrangers après des appels manqués si on ne les connaît pas », avait expliqué cette source.

Arnaque sur WhatsApp

Si Jean-Claude et Maria ont été assez prudents pour ne pas se faire avoir, il arrive que des Mauriciens tombent dans le piège. Dans son édition du lundi 16 décembre 2019, Le Défi Quotidien est revenu sur le cas d’Amah et de son époux. Ces habitants de Nouvelle-France ont récemment reçu un message sur WhatsApp disant qu’ils étaient éligibles à participer à une loterie qui serait organisé par l’application. L’escroc est parvenu à convaincre ses victimes et le piège s’est peu à peu refermé sur elles.

L’escroc, qui semblait être à l’étranger, a dit au couple qu’il devait faire un premier paiement de Rs 30 000 pour les procédures administratives. Il a ensuite envoyé un nouveau message annonçant à Amah et à son époux qu’ils avaient remporté le premier prix.

Mais pour toucher ses gains, le couple devait faire un second versement de Rs 27 000 pour de prétendus frais d’ambassade et de banque. Les jours passaient et toujours aucune trace des deux millions de livres sterling promis. Au contraire, l’escroc est revenu à la charge, mais cette fois avec un message demandant au couple un autre paiement. Mari et femme ont alors compris qu’ils avaient été victimes d’une escroquerie. Mais il est trop tard pour récupérer les Rs 57 000 qu’ils ont déjà payées.

Mais les escrocs n’ont aucune limite. Ils ne se cantonnent pas uniquement aux applications du type WhatsApp. Ils exploitent aussi les e-mails pour trouver de nouvelles proies. Ils envoient des messages à de nombreuses adresses dans l’espoir que quelques destinataires y répondent ou ouvrent les pièces jointes. Il existe différents types d’e-mails frauduleux. Des escrocs peuvent, par exemple, tenter de se faire passer pour un organisme bien connu telle une banque. L’e-mail ressemblera en tout point à celui de l’établissement bancaire en question.

Dans ce cas, il est généralement demandé de cliquer sur un lien. Ce dernier conduit alors la victime vers un faux site Internet de la banque où elle devra insérer son identifiant (username) et son mot de passe (password). L’escroc récupère alors ces deux informations pour ensuite faire des transactions sur le compte bancaire de sa victime. C’est ce qu’on appelle le phishing (hameçonnage). L’e-mail peut aussi contenir un virus à travers une pièce jointe à télécharger ou un lien sur lequel cliquer. Ce programme informatique malveillant peut se présenter sous différentes formes. Il peut bloquer l’ordinateur et réclamer une rançon. Il peut voler des données confidentielles ou encore inonder l’appareil infecté de fenêtres publicitaires (pop-ups). Ce ne sont là que quelques exemples. Il existe d’autres types d’escroqueries en ligne.

Avinash Takoory, Expert en cybersécurité : « Le phishing joue sur les émotions de la victime »

Les attaques d’hameçonnage (phishing ; NdlR)consistent à envoyer des communications frauduleuses qui semblent provenir de sources fiables alors que c’est loin d’être le cas. Elles se font généralement par e-mail, par messagerie instantanée, par appel vocal (vishing) ou encore par SMS (smishing), indique Avinash Takoory, Technical Manager de Symantec Corp. Pour Cet expert en cybersécurité pour Maurice et des pays africains nous explique ce qu’est le phishing et comment s’en prémunir.

« Ce type d’attaques peut avoir des résultats dévastateurs. Pour les particuliers, cela comprend des achats non autorisés, le chantage, le vol de fonds et l’usurpation d’identité »

Quelle est la tactique la plus courante du « phishing » ?
Comprenons d’abord ce qu’est le phishing. Il s’agit d’une technique d’ingénierie sociale utilisée en ligne pour tromper les internautes ou des entreprises. La tactique de phishing la plus courante est celle qui joue sur les émotions de la victime. Celle-ci reçoit un e-mail malveillant ou un SMS provenant prétendument d’une personne ou d’un organisme en qui elle a confiance. Il peut s’agit d’un collègue, d’une banque, d’une compagnie d’assurance ou d’un bureau gouvernemental, entre autres. Lorsque la victime ouvre l’e-mail ou le SMS, elle trouve un message effrayant ou une annonce excitante.

Que contient exactement ce message ?
Le message exige souvent que la victime se rende sur un site Web et qu’elle prenne des mesures immédiates. Si elle refuse, elle devra en assumer les conséquences. Si la victime mord à l’appât et clique sur le lien, elle sera redirigée vers une pâle copie d’un site Web qui semble légitime à premier vue. De là, on lui demande de se connecter avec ses identifiants : nom d’utilisateur et mot de passe.
Si elle satisfait crédulement la demande, ces informations sont transmises à l’escroc. Ce dernier les utilise ensuite pour voler des identités et des comptes bancaires ou encore vendre des informations personnelles sur ses victimes en ligne. Certaines attaques par phishing peuvent également induire l’installation d’une application malveillante entraînant le verrouillage du système informatique de l’utilisateur. Dans le cadre d’une attaque par rançongiciel, celui-ci peut verrouiller des informations sensibles appartenant à sa victime et lui exiger une rançon par la suite pour qu’elle puisse de nouveau avoir accès à ses données.

Quels sont les dangers ?
Les attaques par phishing peuvent avoir des résultats dévastateurs. Pour les particuliers, cela comprend des achats non autorisés, le chantage, le vol de fonds et l’usurpation d’identité. À l’ère numérique, le phishing peut également être utilisé pour s’enraciner dans les systèmes informatiques de certaines entreprises privées ou celles de l’État, dans le cadre d’une attaque plus vaste. Dans ce type de scénario, certains employés sont compromis afin de contourner les contrôles de sécurité pour distribuer des logiciels malveillants dans un réseau fermé et ainsi accéder à des données sécurisées. Il est donc recommandé que chaque entreprise dispose d’une solution de filtrage qui analyse tous les e-mails entrants.

Comment prévenir ce phénomène ?
Il faut continuellement revoir les politiques définis sur le système de filtrage et les mettre à jour. Disposer uniquement de la technologie destinée à atténuer les attaques par phishing ne suffit pas. Le facteur humain doit être pris en compte. Les employés doivent être sensibilisés aux dangers du phishing dans le cadre du plan de cybersécurité de l’entreprise. Cette formation leur permettra de reconnaître, d’éviter et de signaler les menaces pouvant compromettre les données sensibles et les systèmes informatiques. La formation inclut généralement des simulations d’attaques par phishing pour tester et aiguiser les réflexes que les employés doivent avoir s’ils se retrouvent dans cette situation.

Quelles sont les solutions ?
Des campagnes nationales anti-phishing doivent être menées pour sensibiliser la population à ce type d’attaques et au recours si on en est victime. Quelques précautions doivent aussi être prises, comme l’installation d’un antivirus sur son appareil, en s’assurant qu’il est toujours à jour. Il est également recommandé d’examiner attentivement le contenu des messages, en recherchant des signes évidents de fraude. Exemple : une mauvaise orthographe, des images non professionnelles et une mauvaise grammaire.

Y a-t-il d’autres précautions à prendre ?
Il ne faut pas laisser ses émotions prendre le pas sur sa capacité de jugement. Il faut également valider toute instruction donnée sur le message en appelant la personne. Il ne faut pas non plus donner des informations personnelles par téléphone. Il faut raccrocher et rechercher le numéro de l’entreprise sur son site Web et l’appeler directement afin de s’assurer qu’il s’agissait bien d’un appel et d’une demande légitime.

Autre précaution : ne jamais cliquer sur un lien ou télécharger une pièce jointe dans un e-mail qui semble suspect. Il faut plutôt ouvrir son navigateur Web et accéder au site Web en question en le tapant dans la barre d’URL. Il faut aussi être plus prudent lorsqu’on surfe sur Internet. Il faut, par exemple, éviter les sites Web inconnus qui ne sont pas fiables. Il ne faut jamais utiliser de connexion WiFi publique non sécurisée pour faire des opérations bancaires, faire des achats ou encore échanger des informations personnelles en ligne. Si on n’est pas sûr du niveau de sécurité d’une connexion WiFi publique, il est préférable d’utiliser une connexion de données mobiles.

Ce que dit la loi : jusqu’à Rs 1 million d’amende et 10 ans de prison

« La loi prévoit dans ces cas une peine d’emprisonnement ne dépassant pas 20 ans et une amende de pas plus de Rs 200 000 »

Ce sont les articles 46 et 47 de l’Information  and Communication Technologies Act 2001 qui parlent des délits commis au moyen d’équipements de télécommunication et de ce que risque tout contrevenant. Selon un homme de loi, la loi prévoit une amende pouvant atteindre Rs 1 million et une peine d’emprisonnement de 10 ans pour tout personne rendue coupable de phishing.

Évoquant l’article 10 de la Computer Misuse and Cyber Crime Act 2003, l’avocat explique qu’il stipule ce que risque toute personne qui cause frauduleusement la perte de biens d’autrui, notamment, par les entrées de données, des altérations, la suppression d’informations ou encore l’interférence avec les fonctions d’un système d’ordinateur. « La loi prévoit, dans ce type de cas, une peine d’emprisonnement ne dépassant pas 20 ans et une amende de pas plus de Rs 200 000 », précise l’homme de loi.

Comment faire pour prévenir la propagation du phénomène ? Il répond que c’est là que la sensibilisation revêt toute son importance. Il faut conscientiser le public à ne jamais donner ses données bancaires par e-mail ou par message. « Il faut se mettre au diapason des nouvelles technologies et augmenter le nombre de policiers formés pour lutter contre la cybercriminalité. Il faut aussi recruter des jeunes ayant un bagage informatique leur permettant d’aider à prévenir des arnaques en ligne. Soumettre les systèmes informatiques à des tests réguliers peut aussi s’avérer utile », fait-il ressortir.

L’avocat estime qu’il faut aussi revoir les lois. « Très peu de soutien est accordé aux victimes. La Cyber Crime Unit semble dépassée. Elle a tendance à renvoyer la balle dans le camp des postes de police locaux. Un avocat peut apporter un accompagnement judiciaire pour aider la victime d’une arnaque en ligne à obtenir réparation. Mais il y va de la responsabilité de tout un chacun d’être vigilant en ligne », conclut l’avocat.

Les cyber-attaques les plus courantes

• L’hameçonnage (ou phishing) est utilisé par des « pirates informatiques » qui envoient des e-mails ayant l’air de provenir de sources crédibles afin d’obtenir des informations personnelles ou inciter les utilisateurs à télécharger un virus à leur insu.
• Le « ransomeware », aussi appelé « rançongiciel » est la prise en otage d’un ordinateur ou d’un serveur par un hacker. Ce dernier contraint l’utilisateur à payer une somme d’argent s’il veut récupérer ses informations personnelles ou débloquer son ordinateur.
• L’arnaque par SMS est une technique de « phishing » que les escrocs utilisent pour manipuler l’utilisateur afin de lui soutirer de l’argent ou des informations personnelles. Les textes, souvent accompagnés d’un numéro de téléphone ou d’un lien Internet, demandent à la victime ses données bancaires.
• Les fausses loteries sont de plus en plus courantes. Faites attention si vous recevez un message qui vous informe que vous avez remporté le premier prix d’une loterie. En général l’escroc vous demandera ensuite de verser une somme d’argent substantielle pour encaisser le prix, avant qu’il disparaisse dans la nature.

Pravesh Behari, de la Cybercrime Unit : « Les escrocs font transiter l’argent par plusieurs pays »

À travers le piratage et la cybercriminalité, le Dark Web fait des milliers de victimes au quotidien. « C’est impossible d’éradiquer totalement la cybercriminalité. Mais sensibiliser le public à ce type d’arnaques peut aider à réduire le nombre de victimes », indique  Pravesh Behari, enquêteur à la Cybercrime Unit, qui est une sous-unité du Central Criminal Investigation Department (CCID) ayant pour rôle de lutter contre les crimes et les délits liés à l’informatique. Elle participe également à la prévention, en apportant son expertise.

« Certains escrocs passent en ce moment des appels sur WhatsApp en  utilisant des numéros de téléphone portant l’indicatif de l’Inde ou de Dubaï. »

« Les cas les plus courants que nous recevons à la Cybercrime Unit sont ceux de victimes de sextorsion ou de Parcel Scams (bons cadeaux ; NdlR) », explique Pravesh Behari, qui précise que l’attaque au Parcel Scam touche particulièrement les femmes. « Les attaquants jouent souvent sur les émotions de leurs victimes, en leur envoyant une demande d’ajout à leurs listes d’amis sur les réseaux sociaux. La plupart du temps c’est sur Facebook. Ensuite, ils basculent sur WhatsApp », poursuit-il.

Une fois que les escrocs ont retenu l’attention de leurs proies, ils les font saliver devant la promesse d’obtenir un colis rempli d’objets de valeurs qui leur sera expédié. « Puis le malfaiteur disparaît en faisant croire à sa victime qu’il part en voyage et que quelqu’un d’autre l’appellera pour réclamer des frais de douane afin de laisser passer le colis. Puis ce sera le tour de quelqu’un d’autre de réclamer de l’argent pour les frais d’assurance afin que le colis, qui contient prétendument des objets de valeur tels qu’une bague en diamant et en rubis, des lunettes de marque, des chaînes ou des pendentifs en or massif, puisse traverser l’étape de la douane » relate l’enquêteur.

Il précise que la plupart de temps, ce n’est qu’après avoir fait le troisième transfert totalisant une somme dépassant parfois les Rs 100 000 que les victimes se rendent compte qu’elles se sont fait arnaquer.

Pour Pravesh Behari, si le phénomène prend autant d’ampleur c’est parce que nombre de personnes ne sont toujours pas au courant des risques et des conséquences de ce type d’arnaques. « Des campagnes de sensibilisation sont menées à travers les journaux, la radio et la télévision. Mais les gens qui en sont victimes sont ceux qui ne consultent pas les médias. Par ricochet, ils deviennent des proies faciles pour les escrocs 2.0 qui jouent sur leurs émotions afin de leur soutirer des informations personnelles ou de l’argent », explique l’enquêteur.

Dans les cas de sextorsion en ligne, l’attaquant prend pour cibles des personnes mariées, car il a plus de chances de les faire chanter comparé aux célibataires. « Après la loterie par voie postale, les Nigerian Scams et ceux provenant de pays africains, les attaquants passent en ce moment des appels sur WhatsApp en  utilisant des numéros de téléphone portant l’indicatif de l’Inde ou de Dubaï », fait ressortir Pravesh Behari.  

« Les experts en sécurité informatique sont formés par différentes organisations en Amérique, en Inde et en Égypte, entre autres. Des cours en Ethical Hacking leur permettent d’enrichir leurs connaissances et de parfaire leurs compétences afin qu’ils puissent mieux traquer les cybercriminels », souligne l’enquêteur. Il ajoute que les hackers font un repérage de leurs proies avant de passer à l’attaque. Parmi les techniques qu’ils utilisent figure le Social Engineering. « Les victimes transmettent des informations personnelles à l’attaquant par peur ou sans y réfléchir. Elles agissent souvent dans un moment de faiblesse ou se laissent emportées par leurs émotions », explique Pravesh Behari.

Obtenir réparation

L’enquêteur  affirme qu’il est difficile de retracer l’auteur d’une attaque provenant de l’étranger. « Il opère souvent à travers le monde pour vendre des données personnelles ou faire chanter les victimes. S’il leur a soutiré de l’argent, il le relaiera dans différentes banques se trouvant dans plusieurs pays. Ce faisant, ils brouillent les pistes. Il devient alors difficile d’avoir accès aux comptes bancaires impliqués, car les lois diffèrent d’un pays à l’autre », soutient-il.

Prenant l’exemple des propositions de Work from Home qui surgissent souvent en ligne, il dira qu’il y a de fortes chances qu’une personne en difficulté financière cède à ce type d’offres. « En acceptant de le faire, elle donne des détails personnels. Sans le savoir, elle participe au blanchiment d’argent. Les techniques d’arnaque en ligne sont diverses et complexes quand elles viennent de l’étranger », soutient Pravesh Behari.

Comment se déroule l’enquête quand une victime rapporte un cas à la Cybercrime Unit ? Les officiers tentent de remonter à la source de l’attaque. À l’aide d’un Judges’ Order, les enquêteurs demandent d’accéder aux comptes bancaires impliqués dans cette affaire afin de recueillir des données qui permettront de poursuivre l’enquête. « Souvent ce n’est pas retraçable car les attaquants répandent en quelques secondes de l’argent volé à travers le monde grâce à un système de transfert virtuel », fait ressortir Pravesh Behari.

D’où l’importance, dit-il, de la sensibilisation aux dangers et aux arnaques en ligne. « Si le public est vigilant, il ne se laissera pas leurrer par les loteries, les bons cadeaux et les demandes d’amis sur les réseaux sociaux faites par des inconnus qui, la plupart du temps, se cachent derrière de faux profils », conclut Pravesh Behari.