Fraude numérique

Il y a quelques années, le phishing consistait en des emails de masse mal rédigés et faciles à repérer au premier coup d’œil. Aujourd’hui, nous faisons face à des attaques pratiquement indétectables. Chez Panda Security, nous avons observé une évolution remarquable : les arnaques numériques sont devenues un véritable travail d’ingénierie sociale et technique.

La plupart des fraudes numériques suivent un schéma stratégique très clair, divisé en quatre phases critiques :

1. L’impact initial : un SMS vous alertant qu’un compte bancaire a été bloqué, ou un message désespéré du type « Maman, j’ai changé de numéro et j’ai besoin d’argent. » L’objectif est de créer un sentiment d’urgence afin que la victime réagisse impulsivement.
2. La phase de capture : en cliquant sur le lien frauduleux, l’utilisateur est redirigé vers un faux site web et y saisit ses identifiants de connexion.
3. Le moment décisif : le faux site demande le code de vérification à usage unique que l’utilisateur reçoit par SMS.
4. La tromperie finale : la transaction est effectuée et l’argent disparaît avant même que la victime ait le temps de réagir.

La cybercriminalité est passée de fraudes génériques à des attaques de précision grâce à des outils de plus en plus sophistiqués et difficiles à détecter. Les criminels exploitent nos canaux de communication quotidiens de trois façons principales :

• Phishing (emails) : des emails de masse mal rédigés aux répliques parfaites. Les criminels utilisent désormais l’intelligence artificielle pour rédiger des messages impeccables, usurper des domaines légitimes et même utiliser des certificats HTTPS.
• Smishing (messages texte / SMS) : les pirates envoient des alertes urgentes au sujet de comptes bloqués ou de colis non livrés. Lorsque la victime clique sur le lien, elle est dirigée vers un faux site conçu pour voler ses identifiants ou usurper son identité.
• Vishing (appels téléphoniques) : des appels dans lesquels les escrocs utilisent des techniques de persuasion et la technologie deepfake pour cloner de vraies voix et demander des informations sensibles ou une autorisation de paiement immédiate.

L’objectif d’une fausse boutique en ligne est double : vous faire payer un produit que vous ne recevrez jamais et voler les données de votre carte bancaire. Les escrocs s’appuient principalement sur deux stratégies :

1. Fausses boutiques avec des offres irrésistibles : des sites créés de toutes pièces qui proposent des produits avec des remises absurdes. L’utilisateur passe commande, reçoit un email de confirmation, puis le site disparaît sans laisser de trace.
    
2. Domaines similaires (sites clonés) : les criminels imitent une boutique existante en modifiant subtilement certaines lettres ou en introduisant des fautes de frappe pour récupérer vos identifiants et vos informations bancaires.

L’isolement social, la confiance et une moindre familiarité avec les environnements numériques créent un terrain idéal pour les fraudes visant les personnes âgées, qui reposent sur la manipulation psychologique :

• Création de crédibilité : les escrocs prennent contact via des canaux familiers en se faisant passer pour la banque ou le support technique. Le message initial correspond aux attentes ou aux besoins de la victime.
• Construction de la confiance : les criminels adaptent leur discours, maintiennent le contact et créent un faux sentiment de proximité.
• Exploitation et urgence : ils introduisent progressivement des demandes d’argent ou de données sensibles en s’appuyant sur des leviers émotionnels tels qu’une urgence médicale ou une situation familiale délicate.

Les cybercriminels ne ciblent plus seulement les utilisateurs individuels, mais aussi les entreprises dans lesquelles ils travaillent, en manipulant les employés par un faux sentiment d’urgence :

• Faux support technique : des alertes urgentes (par email, téléphone ou site web) concernant un problème système, dans lesquelles les escrocs manipulent la victime pour qu’elle accorde un accès à distance à son appareil, fournisse des coordonnées bancaires ou divulgue des informations confidentielles.
• Fausses mises à jour (Scareware): des fenêtres pop-up sur des sites web imitant des alertes du système d’exploitation ou du navigateur et poussant l’utilisateur à télécharger des correctifs ou de faux antivirus qui installent en réalité des logiciels malveillants
• Usurpation d’identité en entreprise : des emails frauduleux imitant l’identité d’un collègue ou d’un dirigeant afin de tromper un employé et l’amener à effectuer des virements, révéler des identifiants ou télécharger des fichiers infectés.

Il s’agit de l’utilisation illicite des données personnelles d’une personne ou de l’image d’une entreprise par des cybercriminels. Ce type de fraude se manifeste généralement sous trois formes stratégiques :

• Usurpation de marques et d’entités : des sites web clonés à l’identique pour inciter les utilisateurs à saisir leurs identifiants ou leurs données de carte bancaire.
• Clonage de profils sur les réseaux sociaux : création de faux comptes utilisant le nom et les photos de personnes réelles afin de demander de l’argent de toute urgence ou de rediriger les abonnés vers des sites frauduleux.
• Prise de contrôle de compte : les criminels prennent le contrôle total d’un compte email ou d’un profil sur les réseaux sociaux afin d’escroquer les contacts ou d’effectuer des opérations bancaires non autorisées.

Les cryptomonnaies sont anonymes, non régulées par une banque et leurs transactions sont irréversibles. Si un cybercriminel parvient à vous tromper, les fonds sont souvent impossibles à récupérer.

• Escroqueries par manipulation : les escrocs manipulent psychologiquement les utilisateurs en promettant des gains. Cela comprend des techniques telles que le rug pull ou les fausses offres initiales de jetons.
• Escroqueries d’accès : les attaquants utilisent de fausses alertes de chantage ou des liens de phishing imitant des plateformes officielles afin de capturer vos identifiants de connexion.

Les applications de rencontre et les réseaux sociaux sont les principaux terrains des arnaques sentimentales. Grâce à l’intelligence artificielle, les escrocs ont perfectionné leurs méthodes :

• Automatisation de la relation : ils utilisent l’IA et des outils deepfake pour usurper des visages ou cloner des voix afin de pousser les victimes à envoyer de l’argent.
• Sextorsion : la victime est manipulée pour partager des images ou des vidéos compromettantes et, en l’absence de paiement immédiat, le contenu est menacé de diffusion.
• Pig Butchering : une relation fictive est construite dans le temps et la victime est convaincue d’investir conjointement sur de fausses plateformes de cryptomonnaies.

Le principal moteur des fraudes numériques est la manipulation psychologique via les émotions et la création d’un sentiment d’urgence. L’objectif est de provoquer une décision impulsive et précipitée :

1. L’arnaque de "l’enfant en détresse" : Le malfaiteur se fait passer pour votre enfant dans une situation d'urgence depuis un numéro inconnu afin d'exiger des virements urgents, en jouant sur la peur des parents.
2. La "fraude au CEO" : un haut dirigeant est usurpé afin de mettre un employé sous pression avec de fausses instructions urgentes, le forçant à autoriser des virements importants.

Les cybercriminels comptent sur la précipitation et le manque d’attention pour nous empêcher d’examiner les liens et nous faire tomber dans le piège. Apprendre à analyser une URL est l’un des moyens les plus efficaces de déjouer l’arnaque :

• Fautes de frappe ou lettres modifiées : remplacer la lettre "l" par un "I". À première vue, elles semblent identiques, mais elles renvoient vers des serveurs frauduleux.
• Mots ajoutés au domaine d’origine : des ajouts artificiels conçus pour inspirer un faux sentiment de confiance.
• Extensions de domaine inhabituelles : des terminaisons comme .xyz, .top, .biz ou .shop sur des sites censés appartenir à des entités officielles.

Des prix irrésistibles nous poussent à acheter impulsivement avant la disparition de l’offre. Si un article coûte seulement une fraction de sa valeur réelle, il y a de très fortes chances que vous soyez face à une fausse boutique en ligne :

• Remises excessives : des prix bien inférieurs à ceux de tout autre revendeur officiel.
• Fausses offres flash permanentes : des compteurs et leviers d’urgence conçus pour vous pousser à acheter immédiatement, alors que l’offre ne se termine jamais réellement.
• Articles de luxe en liquidation : des marques exclusives ou des technologies de pointe proposées à des remises impossibles sous prétexte d’une prétendue fermeture du magasin.

Les plateformes frauduleuses conçoivent leurs systèmes de paiement autour de méthodes qui ne peuvent ni être annulées ni être tracées :

• Virement bancaire uniquement : le site n’accepte pas les paiements par carte et vous oblige à effectuer un virement direct pour traiter la commande.
• Exigence de cartes cadeaux : on vous demande de fournir des codes de cartes prépayées comme mode de paiement, une méthode totalement anonyme et irréversible.
• Utilisation d’applications P2P : pression pour envoyer de l’argent via des applications de paiement instantané entre particuliers au lieu de passer par des passerelles de paiement commerciales réglementées.

De nombreux sites frauduleux sont créés à la hâte avec pour seul objectif de rester en ligne juste assez longtemps pour voler des données avant d’être signalés. Par conséquent, les erreurs dans le contenu sont fréquentes :

• Fautes d’orthographe : des erreurs qu’une marque officielle ne laisserait jamais passer dans ses communications.
• Langage maladroit ou incohérent : des textes qui semblent rédigés à la hâte ou traduits automatiquement de manière trop littérale depuis une autre langue.
• Descriptions copiées : des textes produits identiques répétés dans différentes sections du site sans fournir de détails techniques précis.

Les consommateurs bénéficient d’un certain nombre de droits en cas de fraude grâce à la réglementation européenne PSD2, qui oblige les banques à enquêter sur les transactions et à rembourser l’argent si elles ne peuvent pas prouver que le paiement a été autorisé de manière sécurisée.

Découvrir que l’on a été victime d’une arnaque numérique peut être déstabilisant et frustrant, mais agir rapidement reste la meilleure réaction. La première chose à faire est de contacter immédiatement votre banque afin de faire opposition sur vos cartes et de vérifier si un virement en cours peut encore être bloqué ou récupéré. Ensuite, rassemblez un maximum de preuves, comme des messages WhatsApp, des emails, des captures d’écran ou des informations de transaction, puis déposez plainte auprès de la police ou de la gendarmerie.

La situation est plus complexe dans le cas des fraudes reposant sur l’ingénierie sociale, comme l’arnaque de « l’enfant en détresse », car la victime effectue elle-même le virement, sous l’effet de la tromperie. Vous n’êtes pas pour autant sans recours : si vous estimez que votre banque n’a pas identifié à temps une opération inhabituelle ou suspecte, vous pouvez contester la transaction ou adresser une réclamation à votre établissement. Si des données personnelles ont également été volées ou utilisées frauduleusement, vous pouvez aussi vous tourner vers l’autorité compétente en matière de protection des données.

Il est essentiel de changer régulièrement les mots de passe de vos comptes pour protéger vos informations personnelles et bancaires, mais on ne peut pas tout miser sur l’idée de ne jamais commettre d’erreur humaine.

Panda Dome offre une protection en temps réel qui analyse le comportement de votre appareil et surveille les sites web que vous visitez, en bloquant automatiquement l’accès aux portails dangereux ou aux tentatives de phishing avant même que vous ne cliquiez. Il inclut également des outils essentiels tels qu’un gestionnaire de mots de passe et un VPN pour chiffrer votre connexion et protéger vos données.