Une fraude par texto difficile à identifier
Les tentatives de fraude par texto sont, en général, relativement faciles à identifier. Ce n’est pas le cas pour cette arnaque hautement personnalisée qui circule en ce moment au Canada.
Une résidente de Shippagan, au Nouveau-Brunswick, a reçu un message texte (texto) en anglais qui se lit comme suit :
Notification de livraison UPS à l’intention de : Claire L. Votre colis de Apple Inc, destiné à [code postal] a des frais de livraison de 3,91 $. Pour terminer la livraison, votre facture doit être payée avant le 6 février 2023. Pour ce faire, visitez le : [lien].
« J’ai trouvé ça étrange, dit Claire L., car je venais en effet d’acheter un iPad, mais la livraison était censée être gratuite. C’était intrigant. » Elle a décidé de ne pas suivre le lien en question.
Son réflexe était le bon, mais plusieurs acheteurs auraient pu tomber dans le piège. Les SMS frauduleux sont souvent très généraux : « Votre colis n’a pas été livré, suivez ce lien pour le recevoir », par exemple.
Le texto reçu par Claire L. était toutefois spécifique. Le fraudeur connaissait son nom, son numéro de téléphone, son code postal et il savait qu’elle avait acheté quelque chose chez Apple.
Pour ajouter une couche au mystère, nous avons également mis la main sur une autre tentative, aussi envoyée ce mois-ci, à Jean-François G., un analyste d’affaires. « J’ai commandé des LEGO. Quelques jours plus tard, j’ai reçu un courriel pour me donner un numéro de suivi pour la livraison. Peu après, j’ai reçu le SMS », explique-t-il. La formulation du message n’était pas la même, mais ici aussi, la personne derrière la fraude connaissait son nom, son numéro de téléphone, son code postal et elle savait où l’achat avait été réalisé. « Il y a quelqu’un qui a un problème quelque part », résume ce consommateur.
À lire aussi : Fraudes en ligne : la vigilance s’impose !
- Deux tentatives de fraude contenant des informations privées obtenues par Protégez-Vous.
Une fraude mystérieuse et courante
Une recherche web sur des groupes de discussion a permis de découvrir que plusieurs autres victimes avaient reçu des textos du même genre au cours des dernières semaines.
« C’est vraiment intéressant », dit Olivier Bilodeau, directeur de la recherche en cybersécurité chez GoSecure, une entreprise en sécurité informatique. Comme d’autres experts consultés par Protégez-Vous, sa curiosité a été piquée par la quantité d’informations contenue dans les messages.
« Le premier réflexe est de se dire que ce n’est qu’un hasard si ça a l’air crédible, mais il y a beaucoup trop d’informations. C’est clairement une attaque ciblée », estime-t-il.
Lorsqu’on suit l’un des liens envoyés par texto (ce qu’il ne faut jamais faire à la maison si vous recevez un message suspect, comme « nous avons utilisé un appareil sécuritaire sur un réseau isolé pour le faire »), la fraude redevient plus classique. Une page s’affiche demandant d’entrer des informations personnelles pour procéder au paiement, comme le nom, l’adresse, le numéro de carte de crédit (avec le code de sécurité) et la date de naissance. Une fois ces données obtenues, le fraudeur peut effectuer des achats en ligne ou revendre les renseignements, par exemple.
- Le lien intégré à l’un des messages frauduleux invite la victime à entrer ses informations personnelles. Capture d’écran : Maxime Johnson.
Repérer la fuite
Une enquête plus poussée sera nécessaire pour trouver la source de la fuite de données, mais les signes pointent pour l’instant du côté du service de livraison, ou d’un autre intermédiaire, puisque, dans les deux cas, les achats ont été effectués à des endroits différents.
« Il pourrait y avoir une fuite reliée aux plateformes de commerce en ligne, c’est déjà arrivé, mais ce sont ici de gros noms, alors ce serait plus étonnant », déclare Olivier Bilodeau.
Une faille dans un des outils informatiques du service de livraison, un système mal conçu ou un employé qui revend des informations à d’autres (ce qui serait plus surprenant, puisque l’employé aurait probablement accès à encore plus d’informations, ce qui permettrait de créer des textos plus réalistes) pourraient notamment expliquer la fuite de données.
Un problème informatique expliquerait d’ailleurs le fait que les deux SMS semblaient provenir de deux fraudeurs différents. « Souvent, lorsqu’il y a une faille, celui qui la découvre revend sur le web profond la marche à suivre pour en profiter, il ne tente pas de s’en servir directement. Ce sont d’autres criminels qui effectuent les fraudes elles-mêmes », précise Olivier Bilodeau.
Un porte-parole d'UPS indique ne pas avoir de renseignements spécifiques par rapport aux deux cas signalés, mais il dit être conscient que des pratiques d’hameçonnage et d’autres actes de cybermalveillance existent. « Nous encourageons nos clients et les consommateurs en général à se renseigner sur les moyens à leur disposition pour se protéger de ce type de fraude en visitant Lutte contre la fraude | UPS - Canada », ajoute-t-il par courriel. Un des exemples de fraude par SMS affichés sur le site de l’entreprise ressemble d’ailleurs à la tentative envoyée à Claire L. et Jean-François G.
Apple et Lego n’ont pas répondu à notre demande d’entrevue, mais Jean-François G. a reçu une réponse par courriel de LEGO, indiquant que « ses informations n’avaient pas été partagées à partir de [leur] site ».
À lire aussi : La fraude n’épargne pas les ados : voici comment les protéger
En attendant l’enquête, faites attention
Une enquête plus poussée sera nécessaire pour découvrir la source de la fraude, qui n’est pas répertoriée sur le site du Centre antifraude du Canada ni sur son équivalent américain.
En attendant, si vous effectuez une commande en ligne et que vous recevez un message vous indiquant que vous devez payer un petit montant pour recevoir une livraison, vous devriez l’ignorer et signaler la tentative de fraude au Centre antifraude du Canada en suivant ce lien.
À lire aussi : Vie privée et vie numérique
L'envoi de commentaires est un privilège réservé à nos abonnés.
Déjà abonné? Connectez-vous