Chaque année, de plus en plus de particuliers sont confrontés au hameçonnage, ou “phishing”. Si le hameçonnage par mail reste très répandu, une croissance considérable des SMS frauduleux “plus intrusifs” et “difficilement identifiables” est constatée depuis ces trois dernières années selon le dernier rapport de Cybermalveillance.gouv.fr.
“Info ANTAI : vous avez une contravention impayée d’un montant de 35 euros”, “Chronopost : une erreur est survenue lors de la livraison de votre colis” ou “Ameli : votre nouvelle carte vitale est disponible. Remplissez ce formulaire afin de rester couvert...”. Vous recevez régulièrement ce type de SMS, vous demandant généralement de payer une contravention ou de régler des frais d’affranchissement concernant un colis dont vous n’avez pas connaissance ? Vous êtes alors probablement touché par l’une des multiples formes d’hameçonnage qui s’est fortement généralisé depuis la pandémie de Covid-19, notamment avec l’explosion de l’usage des outils numériques.
“L’hameçonnage par SMS, c’est vieux comme Internet. Mais depuis quelques temps, il y a une explosion de cette pratique”
Jérôme NotinDirecteur général de Cybermalveillance.gouv.fr
En 2022, l’hameçonnage - mails et SMS confondus, représentait 38 % des demandes d’assistance sur la plateforme Cybermalveillance.gouv.fr, créée par l'ANSSI et le ministère de l'Intérieur. “L’hameçonnage par SMS, c’est vieux comme Internet. Mais depuis quelques temps, il y a une explosion de cette pratique”, estime Jérôme Notin, directeur général du dispositif Cybermalveillance.gouv.fr.
Qu'est-ce qui caractérise un hameçonnage par SMS ?
Un SMS est reçu par la victime : il a toutes les caractéristiques d’un message d’une administration. Il peut sembler provenir de l’Assurance maladie, du site Impots.gouv.fr ou encore de l’ANTAI, l’Agence nationale de traitement automatisé des infractions. Il peut également imiter les messages d’une entreprise de livraison de colis comme Chronopost ou d’une banque.
La victime est alors systématiquement incitée à cliquer sur un lien pour un motif particulier : confirmer la livraison d’un colis, régler des frais d’affranchissement ou résoudre un incident de paiement. Jusqu’ici, les SMS frauduleux sont généralement difficiles à identifier. Même constat pour le site malveillant sur lequel la victime sera redirigée. Généralement, le message exhorte la victime à effectuer une action rapidement.
"Il s'agit là de récupérer les données bancaires, et derrière, de faire des appels en tant que faux conseiller bancaire et voler des dizaines de milliers d'euros"
Jérôme NotinDirecteur général de Cybermalveillance.gouv.fr
Pour l'arnaque dite "ANTAI", les victimes sont incitées à débourser 35 euros sur un site imitant celui de l'agence nationale chargée de relever les infractions liées à la circulation routière. Pour autant, l'objectif pour les cybercriminels n'est pas de prélever ce montant. Il ne sera même parfois pas débité. "L'objectif n'est pas d'encaisser les 35 euros, assure Jérôme Notin. Il s'agit là de récupérer les données bancaires, et derrière, de faire des appels en tant que faux conseiller bancaire et voler des dizaines de milliers d'euros. Nous pensons qu'ils s'agit de la principale raison pour laquelle ils collectent ces données-là. Mais ils peuvent également revendre les numéros de carte à des tiers."
Depuis mai 2021, la norme européenne de sécurisation des paiements, la DSP2, s'applique à l'ensemble des achats en ligne dès 30 euros. Elle a permis de rendre obligatoire la mise en place de l'authentification forte avec au moins un code ou un mot de passe, ainsi qu'un appareil que l'utilisateur possède avec une donnée biométrique telle que le l'empreinte digitale. Pour Jérôme Notin, elle a permis de "gêner" les cybercriminels qui ont dû modifier leurs pratiques, notamment en développant la fraude au faux conseiller bancaire. "Avant la DSP2, ils pouvaient agir seulement en récupérant les numéros de carte. Aujourd'hui, il faut de l'humain. La DSP2 a élevé le niveau de difficulté pour les cybercriminels", ajoute Jérôme Notin.
"Aujourd'hui, il faut de l'humain. La DSP2 a élevé le niveau de difficulté pour les cybercriminels"
Jérôme NotinDirecteur général de Cybermalveillance.gouv.fr
Un niveau de difficulté que les cybercriminels ont malheureusement appris à contourner avec les "alloteuses". Généralement des femmes, elles appellent les victimes en se faisant passer pour une employée de leur banque. C'est à cette étape que le risque est de perdre des milliers d'euros. Le youtubeur Micode, passionné de cybersécurité, a enquêté sur ces cybercriminels à l'origine de ces SMS trompeurs et diffusés massivement. Au fil de sa recherche, il parvient à intégrer des groupes privés de discussions sur la messagerie Telegram. Il réussit alors à y piéger l'une de ces "alloteuses". Sa vidéo intitulée "J'ai infiltré un réseau d'arnaqueurs au SMS" et publiée à la fin du mois de mai dernier, a atteint près de 500 000 vues en deux jours et dépasse désormais les deux millions.
"Il s'agit d'une vraie cybercriminalité organisée. On peut même parler de mafia"
Jérôme NotinDirecteur général de Cybermalveillance.gouv.fr
En mars dernier, les équipes de France Info ont également enquêté sur ces arnaques au SMS montées par de jeunes cybercriminels, parfois adolescents. "Il s'agit d'une vraie cybercriminalité organisée. On peut même parler de mafia. On a des gens spécialisés sur la collecte d'information, d'autres dans le blanchiment d'argent", souligne Jérôme Notin, directeur général du dispositif Cybermalveillance.gouv.fr.
L'IMSI-catcher : une méthode qui surprend
En février dernier, cinq hommes ont été mis en examen, alors soupçonnés d’avoir envoyé plus de 400 000 SMS frauduleux qui renvoyaient vers un faux site de l’Assurance maladie, selon nos confrères de France Info. Ils avaient été interpellés dans les Hauts-de-Seine et en Seine-Saint-Denis. Cette affaire a débuté lors d’un banal contrôle routier d'une automobiliste de 23 ans fin décembre 2022, dans le 10ème arrondissement de Paris. Les policiers découvrent par hasard, dans le coffre du véhicule, un IMSI-catcher. Cet appareil de surveillance ultrasophistiqué, en principe réservé aux services de renseignement et à l'armée, permet d’intercepter toutes les communications vocales et écrites (SMS) de n'importe quel téléphone mobile dans un rayon d’environ 200 mètres.
/regions/2023/06/20/6491b54f6f5c3_imsi-catcher.png)
En se faisant ainsi passer brièvement pour une antenne relais, le dispositif aspire les numéros de téléphone pour envoyer les SMS frauduleux. N'ayant pas connaissance de l'appareil, les policiers font intervenir un service de déminage qui fait exploser l'ensemble, comme l'avait révélé le JDD. Pendant sa garde à vue, la jeune femme avait confié qu'elle avait pour mission de circuler dans la capitale, en échange de quelques centaines d'euros.
Comment s'en prémunir ?
Au moindre doute, entrez directement en contact avec l'organisme concerné qui pourra vous confirmer ou non l'authenticité du SMS reçu. Par exemple, dans le cas d'un renouvellement de carte Vitale, contactez votre caisse primaire d'assurance maladie (CPAM). Également, ne cliquez pas sur le lien présent dans le SMS et veillez à ne jamais communiquer vos données bancaires.
Si vous avez communiqué des données sensibles, telles que des informations de paiement, faites immédiatement opposition. Pensez également à conserver les éléments qui peuvent constituer des preuves, tel que le SMS frauduleux reçu. Si vous avez constaté des prélèvements frauduleux sur votre compte bancaire, déposez plainte.
Enfin, si vous pensez être concerné par une tentative d'hameçonnage par SMS, transférez le SMS frauduleux au 33700 (envoi gratuit).
