Elle est très rentable pour les cybercriminels et assez simple à réaliser pour ces derniers. Je vous propose aujourd’hui de vous intéresser à ce cas d’école, pour lequel il m’a récemment été donné de mener l’enquête.
Imaginez qu’un jour, quelqu’un vous appelle de la part d’une ou de l’institution bancaire avec laquelle vous transigez généralement. Il faut dire que vous avez l’habitude de traiter beaucoup d’actifs et de transactions pour vos clients. L’homme ou la femme qui se trouve au téléphone parle en français, avec un ton qui semble grave et sérieux. Cette personne vous explique qu’un problème technique majeur risque de rendre vos applications bancaires professionnelles indisponibles pendant plusieurs heures. Donc proactivement, son service a été mandaté pour appeler les clients et les aider à se reconnecter.
Vous avez des doutes, mais l’individu au téléphone semble vraiment sérieux et articulé. Il connaît votre lien avec l’institution bancaire, il vous donne un numéro en 1-800 pour le rappeler en cas de problème, et son prénom, ainsi que son nom, sont « bien de chez nous », soit autant d’indices qui laissent supposer que l’appel provient bien d’une succursale ou d’un bureau de l’institution locale.
L’individu au téléphone se confond en excuses, explique que le problème technique est important, qu’il va tout faire pour aider et faire en sorte que la gêne sur vos opérations ne soit que temporaire. Devant autant de bonne volonté, on ne peut que dire « merci » et tenter d’être compréhensif.
La personne va ensuite prétexter devoir faire quelques opérations avec vous au téléphone pour vous aider à vous connecter vers la nouvelle interface de l’application bancaire qui est en cours de migration. Elle va également vous proposez de s’adapter à votre horaire afin de vous accommoder. À ce moment de la conversation, dans la majorité des cas, le seuil de confiance est atteint et la vigilance diminue au profit de la bonne volonté.
Quelques minutes plus tard, l’individu rappelle ou vous le rappelez au numéro 1-800 qu’il vous a fourni et qui dispose de messages automatiques et de musiques d’attente similaires à ceux de l’institution financière concernée. L’individu vous répond, toujours aussi jovial, sérieux et arrangeant. Il va vous donner une adresse internet raccourcie pour faciliter l’accès au nouveau site afin de tester la compatibilité de votre navigateur et voir si le site bancaire s’affiche correctement pour vous. Il vous précise que le site est en cours de migration qu’il se peut qu’il y ait de petites imperfections, mais que ce sera vite réglé. Il vous rappelle que l’utilisation du nouveau site va automatiquement initier la migration de votre compte et de vos accès et que si vous tentez de vous reconnecter sur l’ancienne interface, vous allez retarder la fameuse « migration ». Alors, vous aussi vous allez être arrangeant et discipliné. L’individu va vous demander de réenregistrer de nouvelles questions de sécurité en tapant d’abord les réponses aux anciennes pour valider votre identité et insérer le code temporaire de votre jeton d’authentification fourni par la banque.
À ce point, voilà où en est la situation : en vous connectant sur le fameux nouveau site, qui est un faux mais sur lequel le fraudeur aura installé un programme de maintenance « légitime », c’est-à-dire non détecté comme une menace par les antivirus du marché, il aura accès à votre ordinateur. De fait, ce type de programme de maintenance informatique à distance n’a pas besoin de droit utilisateur à hauts privilèges pour s’installer. Il s’installe de façon silencieuse et donne accès à votre ordinateur comme si le fraudeur était devant. Il peut alors effectuer les manœuvres de son choix, voir toutes les opérations informatiques effectuées, de même que consulter les documents de votre disque dur et des disques réseau ou amovibles attachés. Il peut aussi enregistrer toutes les frappes faites sur votre clavier.
L’individu va donc vous demander de vous authentifier de nouveau sur le faux site et aura en main toutes les informations pour se connecter de son côté directement sur le vrai site de l’institution bancaire. Le cyberfraudeur va désactiver les notifications de sécurité sur votre compte, il va changer votre mot de passe sur le site bancaire et commencer à ajouter des bénéficiaires, passer des transactions et exécuter des virements. Tout cela, en continuant à se confondre en excuse pour la gêne occasionnée par ladite « migration ». En quelques heures, des transactions pour plusieurs dizaines, voire centaines de milliers de dollars seront exécutées.
En conclusion, la vigilance est toujours votre premier atout. Toute situation inhabituelle demande la double validation par des processus fiables que vous pouvez vérifier, appeler directement le numéro de la banque inscrit derrière votre carte de guichet, demander à parler aux gestionnaires de compte que vous connaissez afin qu’ils vous aident à authentifier et comprendre la situation. Ce faisant vous allez responsabiliser la banque.
N’oubliez pas que ces fraudeurs disposent de beaucoup d’information, que votre empreinte numérique ou digitale persona divulgue. Beaucoup d’information sur nous tous sont disponibles sur le darknet, les bas-fonds du web, et nous ne voulons pas y croire. La question du « Pourquoi moi ? » n’a jamais été aussi inutile et insignifiante qu’aujourd’hui. La rentabilité de la cyberfraude, évaluée par la firme Trustwave, à plus de 1400%, permet de nous transformer tous en victime lucrative. Alors, ouvrons l’œil.