L'objet était quasiment irrésistible. Et l'e-mail provenait d'une de mes amies dont je ne reçois des nouvelles qu'une fois par an ou quand elle est en ville. Alors, imaginez mon inquiétude quand j'ai vu le message suivant :

Je suis vraiment désolée de ne pas t'avoir informé de mon voyage. J'ai les larmes aux yeux au moment même où je t'écris. Je suis venue ici, à Odessa, en Ukraine, pour de courtes vacances mais, malheureusement, j'ai été agressé dans le parc de mon hôtel. Tout mon argent, ma carte de crédit et mon portable ont été volés. Heureusement, j'ai toujours mes passeports avec moi.

Je suis allée à l'ambassade et au commissariat mais ils ne m'aident pas du tout. Mon vol part dans moins d'une heure mais j'ai des problèmes pour régler les factures de l'hôtel. Le directeur ne nous laissera pas partir tant que je n'aurai pas réglé les factures, je suis en panique.

Je pouvais entendre la voix de mon amie à travers l'e-mail. Elle aussi adore voyager dans le monde et s'intéresse beaucoup à l'Europe centrale et orientale. C'est tout à fait le genre à débarquer à Odessa le temps d'un long week-end pour voir le célèbre escalier du Potemkine ou pour visiter la ville dans le cadre d'une randonnée autour de la mer Noire. L'absence de ponctuation et l'espacement étrange m'ont déroutée. Mais, encore une fois, elle était paniquée et sous pression intense.

En d'autres termes, j'étais piégée. Alors, j'ai répondu.

Les e-mails bien ficelés piègent les esprits faibles

L'utilisation de moyens de communication pour soutirer de l'argent ou des informations à quelqu'un ne date pas d'hier et a plusieurs formes. De nombreuses escroqueries reposent sur la promesse de retours faciles. L'arnaque du « prince nigérian » en est un exemple. L'escroquerie est similaire au scénario de l'arnaque de la prisonnière espagnole, apparue au 19e siècle, mais elle s'appuie principalement sur le courrier, les fax et les e-mails dans le cadre d'une configuration à étapes multiples qui cible les personnes ayant assez d'argent pour contribuer à l'introduction clandestine de millions de dollars provenant d'un pays africain, souvent le Nigeria (d'où son nom). Ceux qui mordent à l'hameçon et paient les (faux) frais de transfert se voient promettre des retours exponentiels sur leurs investissements qui ne voient jamais le jour. Il existe une multitude de variantes de l'escroquerie. Par exemple, un parent perdu depuis longtemps laisse à une personne une somme d'argent phénoménale ; pour obtenir l'héritage, la personne doit payer tous les frais juridiques. Mais, en général, la plupart de ces escroqueries reposent sur la cupidité pour attirer l'attention.

En revanche, les attaques de phishing relatives à des amis « bloqués » tirent parti de la bonne volonté du lecteur. Nous voulons tous aider les gens que nous connaissons et aimons. Moi la première. Dans mon cas, l'escroc a utilisé un malware (probablement un cheval de Troie) pour pirater le compte de messagerie de mon amie et accéder à ses contacts. Le message que j'ai reçu était adressé à une vingtaine de personnes. Il est difficile de savoir si les pirates ont sélectionné leurs cibles en utilisant l'historique des communications entre mon amie et ses contacts ou selon leur emplacement géographique, mais il semble probable que d'autres escroqueries utilisent des tactiques similaires. Par exemple, les listes de diffusion piratées d'organismes de bienfaisance permettent aux personnes malveillantes de créer de fausses œuvres de bienfaisance et de cibler les personnes les plus susceptibles de faire un don en fonction de leurs activités passées.

Et l'e-mail est un moyen simple et économique. En volant ou en achetant des bases de données volées, les fraudeurs peuvent accéder à des centaines de milliers d'adresses. Grâce à un peu de segmentation, ils mettent toutes les chances de leur côté pour que quelqu'un morde à l'hameçon.

Échec de la version amicale du test de Turing

Dans mon cas, ma fausse amie m'a répondu que je devais virer plusieurs milliers de dollars sur un compte Western Union d'Odessa. Avant d'accepter, je lui ai demandé de nommer une connaissance commune qui nous avait un jour rejoints pour dîner. Bien sûr, elle n'a pas pu. J'ai alors appelé la ligne fixe de mon amie (dans un autre pays) et lui ai laissé un message vocal l'avertissant que son compte de messagerie avait peut-être été compromis.

Aujourd'hui, j'aime à croire que je suis assez intelligent pour ne pas tomber dans de telles escroqueries. Toutefois, les criminels ont accès aux mêmes analyses que les gouvernements et les grandes entreprises. Ils pratiquent aussi leur activité depuis des décennies (parfois des siècles). Ils sont donc extrêmement bien renseignés sur la meilleure façon d’influencer les esprits, même les plus forts. Pour rester à l'affût, plusieurs mesures sont à votre disposition :

  • Savoir ce quest le phishing. La sensibilisation est un pas énorme vers la prévention. Savoir que les escrocs sont présents et se font passer pour des contacts de confiance contribue grandement à leur signalement.
  • Savoir ce qu'ils cherchent. Toute demande par e-mail (ou par les médias sociaux) réclamant de l'argent devrait être immédiatement suspecte. Il en va de même pour les demandes de données à caractère personnel, de noms de compte et de mots de passe.
  • Guetter les signes. En plus des demandes d'argent ou des allusions à la nécessite d'argent, surveillez les fautes d'orthographe, les erreurs de grammaire et autres bizarreries. Pratiquement toutes les banques et la plupart des organisations gouvernementales et commerciales ne demandent jamais d'informations personnelles, d'informations de connexion ou d'argent par e-mail ; donc, si ces informations font partie de la demande, soyez très suspicieux.
  • Vérifier l'adresse e-mail. L'adresse peut ressembler à celle de l'expéditeur supposé, mais vérifiez s'il manque des caractères ou si des caractères supplémentaires ont été ajoutés.
  • Ne jamais cliquer, copier, coller ou faire suivre. Pour tout e-mail suspect, même de loin, ne cliquez sur rien, ne copiez pas de texte, ne le collez pas dans un autre e-mail ou un autre document, et ne le faites pas suivre. Pour documenter l'e-mail (pour alerter votre ami ou une entreprise), la meilleure approche consiste à prendre une capture d'écran.
  • Ne pas répondre. Oui, j'ai répondu, même si j'ai vu les signes. Mais votre réponse indique aux escrocs que vous vous intéressez et que ouvrez de tels courriels. Les personnes malveillantes le remarqueront et enregistreront peut-être votre adresse e-mail pour une autre arnaque plus tentante plus tard.

Les étapes ci-dessus ne sont peut-être pas infaillibles. Mais elles peuvent aider à faire plus attention à la sécurité.

AVG AntiVirus FREE Téléchargement GRATUIT