Avec le développement des services financiers passant par le smartphone et l’échange de message type texto, les arnaques par ce canal explosent.
Quand les procédures de vérifications font le jeu des escrocs
Il a suffi d’une erreur de jugement momentanée pour qu’Alyssa Beckwith tombe dans le panneau.
Le message qu’elle a reçu par texto avait l’air légitime, voire même attendu. Après que certaines de ses informations personnelles aient été volées il y a quelques années, elle s’est inscrite pour recevoir des alertes par SMS de sa banque, Wells Fargo, afin de confirmer chaque nouvel achat. Et cette démarche pour se protéger, ironiquement, est ce qui a fait d’elle une cible si facile.
Ainsi, lorsqu’un escroc a envoyé un texto à Mme Beckwith en avril, lui disant que sa carte Wells Fargo avait été débitée d’un retrait de 240 dollars et qu’il fallait « nous contacter en cas de doute », elle n’a pas réfléchi à deux fois et a appelé. Une voix robotisée, comme celle qui sert actuellement à des arnaques massives auprès des clients d’Amazon, l’a accueillie chez Wells Fargo et lui a demandé de vérifier son identité. Elle a donc entré son numéro de carte de crédit, son numéro de sécurité sociale et sa date de naissance.
« Cette information est valide. Merci », dit la voix, et elle raccroche. Ce n’est qu’alors qu’elle a réalisé son erreur.
« J’étais comme, attendez une minute », a déclaré Beckwith dans une interview téléphonique. « Je suis surprise de ne pas avoir été mise en relation avec quelqu’un à qui parler. D’habitude, c’est ce qui se passe. C’est là que j’ai pensé : « Oh mon Dieu, oh mon Dieu, je pense que c’est une arnaque ».
En l’espace de quelques minutes, Beckwith est devenu la dernière victime du « smishing », ou hameçonnage par SMS, dans lequel un escroc envoie un message texte pour inciter une personne à lui communiquer certaines informations personnelles sensibles, qui peuvent être utilisées pour toutes sortes de fraudes, comme siphonner de l’argent de son compte bancaire ou ouvrir des cartes de crédit à son nom.
125 % de tentatives de smishing en plus tous les trois mois
Les textos non désirés existent depuis pratiquement aussi longtemps que le message texte lui-même. Mais comme de plus en plus de personnes utilisent leurs smartphones pour effectuer des paiements et que de nombreux sites de banques et de services publics vérifient les comptes des utilisateurs par le biais de SMS, les vannes de la fraude se sont ouvertes.
Les chiffres sont stupéfiants. La Federal Trade Commission américains a reçu 334 833 plaintes concernant des SMS frauduleux l’année dernière, soit plus du double de l’année précédente. Selon une nouvelle étude de la société de cybersécurité Lookout, les gens du monde entier sont exposés à environ 125 % de tentatives de smishing supplémentaires tous les trois mois.
Jacinta Tobin, vice-présidente de Proofpoint, une société de cybersécurité spécialisée dans les menaces contre les téléphones mobiles, a déclaré que les escrocs et les pirates criminels ont remarqué que de plus en plus de spécialistes du marketing et d’entreprises interagissent avec les gens par le biais de SMS et ont simplement suivi cette tendance.
« Avant, le texte était un canal très propre, relativement parlant, de pair à pair. On ne communique pas avec des inconnus par texto. Ce ne sont que des amis », a déclaré M. Tobin. « Mais maintenant, le texto s’est ouvert comme un canal de communication plus général pour les entreprises, comme les confirmations de transaction, les alertes de fraude. »
Bloquer ou filtrer les appels
Les messages d’escroquerie et de hameçonnage envoyés par SMS sont particulièrement tenaces car il est difficile de les bloquer. Les bons fournisseurs de courrier électronique bloquent désormais la plupart des messages indésirables et des messages d’hameçonnage, ce qui fait que le spam par courrier électronique n’est plus que l’ombre du problème qu’il était autrefois. Les appels téléphoniques indésirables sont certes ennuyeux, mais vous pouvez au moins regarder le numéro de l’appelant et décider de ne pas prendre l’appel.
Mais bien que les smartphones soient presque omniprésents – 97 % des Américains en possèdent un – il n’y a pas grand-chose que l’on puisse faire pour empêcher les SMS indésirables. Apple et Google, les fabricants respectifs des systèmes d’exploitation pour smartphones iOS et Android, conseillent aux utilisateurs de bloquer les numéros indésirables, mais il est si facile pour les escrocs de faire semblant d’envoyer des messages à partir de différents numéros que de telles stratégies n’ont aucun sens.
Apple permet au moins aux utilisateurs de filtrer tous les messages provenant de personnes qui ne figurent pas déjà dans leurs contacts, mais cela ne signale pas les textes susceptibles d’être des arnaques et les place dans le même dossier que les messages authentiques provenant de numéros non enregistrés.
Les violations des données personnelles des utilisateurs – y compris leurs numéros de téléphone – sont fréquentes et les pirates informatiques échangent régulièrement les données des personnes avec des escrocs avides. C’est tellement courant qu’en avril, après que des chercheurs se soient aperçus que des pirates avaient réussi à extraire de Facebook plus d’un demi-milliard de noms et de numéros de téléphone d’utilisateurs, Facebook a accidentellement envoyé à un journaliste néerlandais un mémo interne indiquant que « nous nous attendons à d’autres incidents de ce genre et pensons qu’il est important à la fois de présenter cela comme un problème industriel général et de normaliser le fait que cette activité se produit régulièrement ».
Rien n’indique que les autorités s’attaque réellement au problème ou qu’elles aient des conseils pour le public. Lorsque Mme Beckwith a réalisé qu’elle était tombée dans le piège, elle a contacté l’autorité américaine du commerce, qui n’a pas répondu, et l’administration de la sécurité sociale, qui lui a conseillé de surveiller son crédit. Mais c’est là toute l’aide qu’ils lui ont apportée, et si elle n’a pas remarqué que quelqu’un avait contracté un prêt à son nom, les messages non sollicités n’ont fait qu’empirer.
