Faire confiance à un e-mail apparemment authentique nous demandant de cliquer pour confirmer les coordonnées bancaires et les codes ? Maintenant, seuls quelques gaffeurs incurables y tombent. Mais la technologie du phishing (pêche aux victimes plus ou moins innocentes de la triche sur le web) progresse. La nouvelle frontière des escroqueries télématiques s'appelle "usurpation d'identité de l'appelant". Le tricheur nous envoie un SMS, un message WhatsApp ou nous appelle simplement au téléphone. Sur notre affichage apparaît le numéro de la banque, de notre institution financière, d'un organisme de bienfaisance ou d'une entreprise que nous connaissons très bien et avec qui nous avons consolidé des relations. Nous répondons, nous faisons confiance, nous exécutons. Cela peut être une arnaque. Il se déroule avec une procédure vraiment raffinée, qui est parfois combinée avec une autre astuce technologique de toute dernière génération : le clonage de notre numéro de téléphone portable (ou plus précisément, son transfert, peut-être momentané et uniquement le temps nécessaire pour tricher) sur un Sim entre les mains du fraudeur, qui pourra ainsi nous remplacer jusque dans l'accord final d'une transaction bancaire, simulant les procédures de sécurité désormais largement répandues qui prévoient la génération d'un goupille jetable. Mais comment fonctionne la nouvelle technique frauduleuse dans le détail ? Comment le reconnaître ? Comment se défendre ?
Usurpation et échange de sim
Pour changer le numéro d'appel qui apparaît sur notre écran en se faisant passer pour notre banque qui a besoin de vérification, ou peut-être un organisme de bienfaisance qui nous demande une contribution, les tricheurs recourent aux procédures autorisées par les systèmes de standard IP-VoIP (ceux qui n'utilisent qu'Internet et non les anciens systèmes téléphoniques également pour les appels vocaux) manipulé avec des applications normales accessible également aux non-professionnels : n'importe qui peut le vérifier en faisant une recherche normale sur les boutiques Internet. La procédure est relativement facile, à tel point que même des tricheurs peu maîtrisés par la technologie, voire un peu brouillons, commencent à l'utiliser.
Un exemple : une entreprise qui vend des appareils électroménagers pour la purification de l'eau s'est masquée ces dernières semaines derrière le numéro de téléphone d'un restaurant-pizzeria de la province de Naples. Quel lien il y avait entre les deux est inconnu. Plus troublants sont deux autres exemples d'escroqueries par "spoofing" mises en place ces derniers mois. La première concerne une vol d'identifiants pour se connecter aux sites de la Poste italienne, en particulier ceux connectés à PostePay (services bancaires). Dans un SMS, les tricheurs en service informent les utilisateurs d'un problème avec les données personnelles de leur compte, les invitant à les répéter ou à les corriger en cliquant sur un lien qui affiche un écran apparemment probable. Pour avoir le temps d'agir, les malfaiteurs vous invitent à ne pas accéder au compte, qui resterait bloqué quelques heures jusqu'à ce que l'erreur soit corrigée. Très similaire dans sa dynamique à la tricherie menée sous le couvert de l'Agence du revenu à travers insaisissable "bureau de recouvrement", qui invite (en se masquant à nouveau derrière un numéro de téléphone plus que probable qui s'affiche à l'écran) à régler une dette fiscale d'arriérés de manière facilitée en communiquant nos données financières confidentielles ou en cliquant sur un lien spécifique qui nous aura été transmis à l'adresse postale électronique que nous aurons par inadvertance indiquée à notre interlocuteur.
Dans tous ces cas, il y a aussi la deuxième astuce, le "sim swap", c'est-à-dire le remplacement peut-être temporaire de notre Sim, permettant au tricheur de valider directement nos paiements en sa faveur. Une pratique qui heureusement n'est possible que si l'arnaqueur est en possession du code série de la SIM à cloner, qui devrait théoriquement être jalousement gardé par notre opérateur de télécommunications. Théoriquement, car ces derniers mois, plus d'une fuite de ces listes a fait la une des journaux, qui sont ensuite tombées entre les mains de criminels. Dans certains cas, les opérateurs téléphoniques les plus scrupuleux ont immédiatement informé les clients, régénérant à distance le code série SIM ou le remplaçant physiquement. Mais personne n'exclut que certaines listes soient encore en circulation, à la disposition des tricheurs.
Comment trouver l'astuce et quoi faire
Première règle: ne jamais fournir nos données personnelles répondre directement à une demande, qu'il s'agisse d'un appel téléphonique, d'un e-mail, d'un SMS, d'un message WhatsApp. Connaissant les arnaques qui circulent, aucune banque sérieuse ne demanderait confirmation des données personnelles par téléphone. La contre-mesure dans ce cas est triviale et efficace : rappelez votre banque pour lui demander des confirmations, des explications et des indications en cas de tentative de fraude avérée. La même prudence s'impose également face au déluge d'appels téléphoniques que chacun de nous reçoit pour nous convaincre de changer de fournisseur de services de télécommunications ou d'énergie.
Deuxième règle : dans tous les cas, nous vérifions avec certitude l'identité de ceux qui nous contactent en passant au crible l'adresse à partir de laquelle l'e-mail nous est envoyé, ou plus encore le numéro de téléphone que nous voyons apparaître sur l'afficheur. Pour vérifier l'authenticité de l'email reçu, ou du message sms ou WhatsApp qui contient un lien suspect, les experts en informatique ont de nombreuses armes à leur disposition, à commencer par la vérification des certificats numériques qui accompagnent les messages complexes. Les simples mortels à qui ce tutoriel est dédié doivent se contenter de procédures moins sophistiquées. Comme, comment?
Tout d'abord, ils peuvent effectuer une vérification grossière en définissant avec la souris l'adresse email qui apparaît avec la souris puis en la copiant dans un fichier word avec le mode "ne garder que le texte" : si l'adresse qui apparaît après l'opération est différent, il dira que c'est un e-mail déguisé et donc trompeuse. Mais même s'il apparaît tel qu'il est, nous ne pouvons pas être assurés. Dans ce cas, nous envoyons un e-mail à la même adresse, que nous remplirons soigneusement en toutes lettres (pas de "couper-coller", surtout dans ce cas) dans notre programme de messagerie, demandant la confirmation du contact reçu.
Pour vérifier l'authenticité du numéro de téléphone qui apparaît sur l'afficheur, la procédure est simple et immédiate : on rappelle le même numéro, éventuellement depuis un téléphone portable (pour éviter toute manipulation très à distance de notre ligne fixe par le standard de zone). La réponse révélera immédiatement comment les choses sont.
Au cas où notre première ligne de défense n'aurait pas immédiatement révélé une arnaque, voulons-nous examiner la proposition qu'ils veulent nous faire ? Nous vous demandons toujours de venir formulé par écrit par e-mail ou courrier ordinaire, sans toutefois fournir aucune référence : s'ils nous ont appelés, ils doivent également avoir notre adresse ou notre adresse e-mail, sinon il est probable qu'il s'agisse d'escrocs ou en tout cas de la pléthore de revendeurs qui travaillent à la commission usant trop souvent de pratiques déloyales.
Une bonne règle imposerait même de faire attention à prononcer certains termes lors d'une conversation avec notre interlocuteur non identifié : le simple le mot "oui" peut être extrapolé (cela arrive aussi) pour préparer un consentement vocal à la proposition d'un contrat pour l'expédition de marchandises ou pour le changement de gérant. Et en attendant, réfléchissez sérieusement à l'opportunité de souscrire à la registre des oppositions à tout appel commercial, qui dans quelques jours devrait enfin s'étendre également aux téléphones portables, comme l'a établi une disposition législative adoptée en janvier dernier.
Dernière recommandation : si vous avez des preuves suffisantes d'une escroquerie ou d'une tentative d'escroquerie télématique, signalez-le directement aux autorités policières. Tu peux aussi via le web.
