Côté arnaque en ligne, c’est « l’un des tubes de l’été ». Sauf que les pirates en ligne, pour faire de nouvelles victimes, ont fait du neuf avec du vieux. Ils ont réutilisé la technique de l’arnaque par SMS du « colis livré », existant depuis plusieurs années, en inviting les future victims à clicker sur un lien pour recevoir ce colis inexistant, mais pour cette fois-ci siphonner le téléphone des victims.
“C’est un procédé qui avait explosé au second confinement, avec le boom des livraisons et qui revient episodiquement en période de soldes”, explains Jean-Jacques Latour, responsible expertise à Cybermalveillance, le dispositif national d’assistance aux victims.
Ces experts ont vu cette arnaque rebondir cet été. « He a vu une hausse du phénomène arriver fin juin, he s’est dit qu’il y avait un problème car les gens sont normally sensibilisés depuis plusieurs années. Habituellement, he a moins d’une dizaine de demandes d’assistance sur ce sujet par jour. Fin juin, he avait des pics avec entre une vingtaine et trentaine d’appels à l’aide quotidiens », s’étonne Jean-Jacques Latour.
Ce n’est que fin juillet, avec l’arrivée des factures de téléphonie, que l’étentue du nombre de victimes de ce SMS qui pourrait avoir été sentée à des millions de personnes ces dernières semaines, s’est revélée. Car cette fois-ci, les cybercriminels ont fait évoluer leur dispositif. Plutôt que du phishing classique, laissant entendre qu’il faudrait payer pour recevoir son colis, la nouvelle arnaque consiste à recuperat toutes les données du téléphone et à utiliser ce même téléphone pour propager le virus.
One version for Android, another for iOS
Ingénieur cybersécurité chez Sekoia, Quentin Bourgue avait lui même reçu un SMS inviting à clicker sur un link au début de l’été… C’est ce qui l’a poussé à enquêter dessus. « Ce qu’il se passe, c’est qu’on arrive sur un site qui a des comportements différences selon notre situation : c’est une page d’erreur si on n’est pas en France, ça installe discrètement un malware (logiciel invisible et sournois) sous prétexte d’une mise à jour sur Android. Sur iOS, ça propose un faux formulaire d’identification sur Apple ID. »
Dans tous les cas, cette « scam » a le même objectif : dérober mots de passe, informations bancaires, contacts, applications installed et appels passés… C’est via Android que l’arnaque est la plus vicieuse puisque’elle vise à installer, en deux clics et sans rien voir, une fausse application, qui reprend les codes du navigator Google Chrome et demande des autorisations. Via iOS, c’est toutes les informations stored sur Apple ID qui sont volées. Le but pour les pirates? Revendre à prix d’or ces informations.
Depuis début juillet et cette alerte de Sekoia, c’est la quatrième arnaque (sur une cinquantaine) qui sollicite le plus d’assistance à Cybermalveillance. Sur cette même période, l’article sur cette menace, qui vient d’être mis à jour, est le deuxième le plus lu du site cybermalveillance.gouv. « En ce moment, 200 personnes viennent lire ces precautions chaque jour », reveals Jean-Jacques Latour. Sekoia estimait à 70,000 le nombre de Français qui avaient pu clicker sur le lien et/ou téléchargé le malware à leur insu. « Mais chaque semaine, ce nombre augmente », explains Quentin Bourgue.
Une bombe à retardement
Via Android, the infected telephone is then used to send malicious messages. Il sert à son tour à envoyer des SMS de tentatives d’arnaque, partout dans le monde, entraînant des factures de téléphonie enormes. C’est alors que les victims découvrent que leur téléphone envoyait des messages.
« Cette partie visible de l’arnaque interpelle les consommateurs. Il faut considerar que leur téléphone et tous leurs comptes sont compromis. Changer de carte SIM ne sert à rien, prévient Jean Jacques Latour. Piratage de boîte mail, récupération d’identifiers, souscription de crédit à la consommation… Les gens peuvent avoir plus d’ennui après-coup, la surfacturation n’est que la partie immergée de l’iceberg. Le pirate en ligne a volé toutes vos données, c’est une bombe à retardement ».
Au Parisien, un opérateur teléfonique confirme avoir connosti « au mois de juillet une (faible) hausse de personnes hors forfait ». « Il s’agit de quelques milliers de clients passés hors forfait à leur insu qui ont solicitité notre service client et ont été remboursés », précis-t-il. Une victime qui a reçu ce SMS raconte : « J’ai cliqué sur ce lien qui menait nulle part. Mais ce même SMS est aujourd’hui envoyé tous les jours par mon portable, dans le monde entier et a entrainment ma surfacturation. »
Que faire si son téléphone est infesté
Il est possible de voir si son Android smartphone est infesté par la presence d’une deuxième application Google Chrome. « L’une des deux est le malware et il faut la suppressir », explains Quentin Bourgue.
Le dispositif d’assistante Cybermalveillance rappelle ses conseils. « Si on vous propose, sur Android, de mettre à jour Chrome après avoir cliqué sur ce lien ou de fournir vos identificants pour Apple, il s’agit d’une arnaque. Sur iPhone, essayer de changer vos identifiers Apple au plus vite, avant que le pirate ne les récupère. Puis retournez-vous au plus vite vers un spécialiste pour réinitialiser le téléphone. Il faudra alors ne restorer que vos données et non pas les applications. Sans oublier de changer tous les mots de passe qui étaiten éutilisés sur le téléphone une fois que vous les avez toutes réinstallées. Signalez ces arnaques au 33700 en transférant le SMS d’arnaque reçu », termine Jean-Jacques Latour.