Les cybercriminels s'invitent de plus en plus dans la vie réelle

Après les campagnes d'e-mails ou les SMS frauduleux qui nous font croire à des offres commerciales alléchantes, ou usurpent l’identité d’administrations pour nous convaincre de régler une prétendue amende, les pirates cherchent de plus en plus à nous atteindre dans la vie réelle.

Cela a débuté il y a quelques années avec le "skimming". Lorsque les escrocs plaçaient sur les distributeurs automatiques de billets des banques, des boîtiers en plastique, à l’endroit où on insère en principe la carte de crédit.

Cet appareil contient un dispositif permettant d’effectuer une copie des informations présentes sur la carte. Il enregistre en outre le code à 4 chiffres que vous composez, en principe à l’abri des regards. Et en quelques secondes, dans un monde bien réel, l’escroc dispose d’un clone numérisé de votre moyen de paiement.

Toujours à la recherche de performance et de rentabilité, les pirates multiplient les incursions dans le monde physique pour conduire leurs activités cybercriminelles.

Des autocollants avec de faux QR codes sur les parcmètres niçois

En octobre 2024, des stickers aux allures de QR code ont fleuri sur au moins 161 horodateurs à Nice. Les automobilistes désireux de régler leur stationnement étaient invités à se connecter directement avec leur smartphone sur un faux service PayByPhone, en principe en service dans la ville. En un clic, vous atterrissiez sur www.pbp-player.info qui évidemment ressemblait trait pour trait au site officiel.

Outre son paiement, la victime a fourni également ses références de carte bancaire. Elles peuvent être utilisées et revendues par la suite. Ici le pirate mise sur la confiance du consommateur, qui dans le contexte de la situation fournit sans crainte ses informations.

D’autant que s’il ne pointe pas assidûment ses comptes, la victime ne prendra conscience du vol, qu’en recevant l’amende pour stationnement impayé. Face à des dispositifs numériques de sécurité de plus en plus élaborés, les fraudeurs cherchent à s’immiscer dans la vie quotidienne afin d’abuser de la confiance des consommateurs.

Ce qui exige, pour ces délinquants, de conduire des activités en ligne, mais également de s’organiser sur le terrain, en déployant par exemple des stickers sur des bornes de stationnement, ou sur des affichettes d’information dans les transports en commun.  

Ce n’est pas tant la technologie utilisée qui va compter que la mise en scène

Mi-novembre 2024, MétéoSuisse – l’équivalent de Météo France chez nos voisins helvètes – a lancé un message d’alerte. De nombreux citoyens suisses ont reçu à leur domicile un courrier officiel à leur nom, imprimé à l’en-tête de l'Office fédéral de météorologie et de climatologie, MétéoSuisse.

Il leur était instamment demandé de télécharger, via un QR code fourni dans la lettre, une application d’alerte aux vents violents. Avec un mode d’emploi pour finaliser le téléchargement par le moins technophile des destinataires, sachant qu’il n’existe en fait aucune application officielle de ce type dans la Confédération. L'objectif est que les destinataires, impressionnés par l’autorité du message, se précipitent pour télécharger l’application. Après analyse, celle-ci ciblait essentiellement les smartphones Android.

Ce logiciel malveillant récupérait les données de connexion (identifiants/mots de passe) de plus de 380 applications différentes, dont des services bancaires. Une fois qu’il détient ces éléments, l’attaquant peut se connecter à votre place. Là encore, le voleur investit préalablement de manière très matérielle avec un texte soigné, imprimé en couleur sur un papier expédié par La Poste, pour atteindre ses cibles à leur domicile.

Comment se prémunir contre de tels modes opératoires

Deux mots-clés : vigilance et contrôle. Ainsi, on ne doit pas répondre aux messages dans l’urgence et prendre le temps d’analyser le contexte. Le plus sage est en cas de doute de contacter l’organisme – qu’il s’agisse d’une administration ou d’un prestataire commercial – par un autre canal de communication. En utilisant l’application officielle, ou en la joignant par téléphone pour s’assurer de la réalité de la démarche.

Le contrôle attentif de ses comptes bancaires permet de signaler à sa banque tout prélèvement indu. Pour obtenir le blocage d’une future ponction, et le cas échéant son remboursement.

La plateforme Cybermalveillance.gouv.fr vous donne les conseils pratiques et les actions à conduire si on est malgré tout victime d’escroquerie en ligne avec ces opérations d’hameçonnage.