L'Office fédéral de la cybersécurité (OFCS) tire la sonnette d'alarme. Une nouvelle forme d'escroquerie en ligne circule en Suisse et un cas a été signalé à la Confédération la semaine dernière.
Le plus vicieux, c’est que les cybercriminels commencent par récolter vos données personnelles à travers des e-mails totalement anodins en apparence, puis s’en servent pour passer des appels téléphoniques qui ne laissent rien paraître. Une technique bien rodée et redoutablement efficace.
Voici comment fonctionne l'astuce. D'abord, un e-mail inoffensif, qui semble venir de votre banque, vous invite à «mettre à jour vos données». Vous êtes ensuite redirigés vers un site Internet qui a l'air authentique, et vous devez saisir des données banales en apparence: nom, numéro de téléphone, numéro de contrat. Pas de mots de passe, pas de données de carte de crédit. Après la saisie, vous êtes même redirigés vers le site officiel de votre banque, ce qui vous donne un faux sentiment de sécurité.
Une bombe à retardement
C'est justement là que se trouve le piège: il ne s'agit pas d'une attaque de phishing classique, écrit l'OFCS. L'autorité met en garde sur son site contre la divulgation de données sensibles telles que les données de carte de crédit ou les mots de passe. «C'est ce qui rend ce procédé si dangereux», explique l'unité spécialisée sur son site, car le pire reste à venir.
En effet, ce n'est que quelques jours après votre saisie que les escrocs passent à l'action. Les criminels vous appellent et déclenchent la deuxième phase de leur stratagème. Le numéro de téléphone affiché est celui de votre banque. Ils connaissent votre nom et les détails de vos coordonnées bancaires. Pendant plusieurs minutes, ils établissent avec vous un lien de confiance.
Puis vient le coup fatal: ils prétendent que l'un de vos virements est suspect et qu'il doit être bloqué. Un code QR, scanné avec votre application e-banking, doit permettre de «sécuriser» votre compte. En réalité, c'est le contraire, les criminels abusent de l'authentification à deux facteurs et obtiennent un accès non autorisé à votre compte.
Ce stratagème s'inscrit dans une tendance inquiétante. L'OFCS observe une évolution du phishing de masse vers des attaques ciblées plus élaborées et plus lucratives. Les criminels utilisent le même principe que les escroqueries aux petites annonces: créer d'abord un climat de confiance, puis frapper.
Cette stratégie cache un schéma psychologique redoutable. «La saine dose de scepticisme diminue lorsque les victimes se trouvent dans un environnement familier ou que leur interlocuteur possède de nombreuses informations sur la victime», prévient l'office. Voilà pourquoi même les plus prudents peuvent tomber dans le piège.
