Arnaque sur mobile, Chronopost et SMS : comment reconnaitre un message frauduleux ?

Malheureusement, le mobile est depuis plusieurs années la cible d'attaques simples qui peuvent toucher des personnes qui ne sont pas au courant de ce type de fraude ou qui sont moins averties ! Le phishing avec du SMS peut être un piège.

Qu’est-ce que le phishing ? Le phishing est une technique d’escroquerie qui consiste à récupérer vos données personnelles (mot de passe, numéro de carte bancaire…) en vous piégeant avec un faux courrier électronique ou un SMS sur votre mobile. Le phishing par SMS, parfois appelé «smishing», est une tactique courante des fraudeurs et autres criminels pour tromper le destinataire du SMS pour qu’il fasse quelque chose qui profite aux fraudeurs. Cela peut prendre de nombreuses formes, mais l’une des plus importantes, et donc dangereuses, est le hameçonnage des comptes bancaires. Par exemple, au cours des derniers mois en Irlande, de nombreux rapports d’attaques de phishing par SMS ont été signalés contre des titulaires de comptes d’une des plus grandes banques d’Irlande – Bank of Ireland (BOI) -. En Angleterre, les industries mobiles, bancaires et financières ont uni leurs forces pour empêcher les fraudeurs d’envoyer des SMS frauduleux à travers une initiative industrielle pour aider à identifier et bloquer les SMS frauduleux et ainsi protéger les messages des entreprises et organisations légitimes.

Une campagne publicitaire a eu lieu pendant le démarrage de la pandémie où les fraudes ont augmenté. L’occasion de rappeler que les criminels sont des experts en usurpation d’identité des personnes, des organisations et de la police.

Ci-dessous, la tentative est grossière, car le hacker fait plusieurs erreurs mais certaines fraudes sont très bien exécutées avec des SMS qui utilisent une adresse de code abrégée alphanumérique et non une adresse de numéro de téléphone typique. L’utilisation d’une adresse d’expéditeur dans les pays anglo-saxons qui semble provenir d’une banque est une tactique qui augmente massivement la crédibilité potentielle du SMS de phishing.

Au cours des trois premiers mois de 2020, le nombre d’attaques de phishing sur mobile s’est accru de 37% d’après les chiffres de Lookout.

Une majorité des liens de phishing sont livrés via SMS, les plates-formes de réseaux sociaux ou des applications de messagerie tierces plutôt que par email afin de cibler des utilisateurs de mobiles. Les liens malveillants sont aussi utilisés pour livrer des contenus sans que l’utilisateur en ait connaissance, comme lors de cette attaque. Si les attaquants sont capables d’exécuter cette attaque avec succès, l’application malveillante installée reste cachée dans l’ombre et peut exfiltrer tout type de données professionnelles ou personnelles, accédées par l’utilisateur.

Si vous avez une flotte de mobile pour vos collaborateurs, les équipes de sécurité doivent comprendre que les terminaux mobiles sont le principal vecteur que les acteurs malveillants attaquent pour avoir accès à des données d’entreprise. Les terminaux mobiles doivent désormais bénéficier du même niveau de protection que les postes de travail. Intégrer une plate-forme de sécurité mobile dans la stratégie de sécurité de votre organisation permettra à la fois de sécuriser les terminaux et de garantir la conformité de l’ensemble de la flotte mobile, de protéger les employés contre le phishing mobile et d’éliminer tout risque de fraude sur mobile pour les consommateurs.

Recommandations aux entreprises

• Élaboration et diffusion de politiques de sécurité claires et cohérentes.
• Exploitation des solutions de sécurité.
• Formation des utilisateurs.

Cas de fraude / Phishing (Livraison de colis)

Hier matin, je reçois un SMS du 06.16.75.59.59 avec ce message :

Faut-il cliquer sur le lien ? Si vous attendez un colis, vous vous dites : “il arrive…” Oui, mais plusieurs signaux doivent vous alerter que ce n’est pas votre colis mais bien une fraude par SMS pour récolter vos coordonnées bancaires. Si vous n’attendez pas de colis, c’est encore plus bizarre…

• Vérifiez le numéro de colis envoyé.
• Ici, en l’occurrence c’est un numéro Chronopost donc si le SMS provient de Chronopost, il sera envoyé par le : 38004, jamais d’un numéro mobile.
• Le lien fourni redirige vers une adresse Web : https://pactrace.verifycustomers.top – ne cliquez jamais sur le lien d’un SMS/e-mail dont vous ne connaissez pas l’origine ou l’adresse émettrice, en l’occurrence ici un 06 – ne cliquez pas sur un lien qui pourrait vous diriger vers un service payant et ne rappelez pas un numéro surtaxé sous peine d’être débité sur votre facture.

• Si vous vous voulez vérifier le numéro de colis, allez sur le site web de Chronopost avec le numéro fourni LP995215701FR. Ce qui est troublant, c’est qu’il existe bien une page, mais avec des manques comme les lieux. Comment se fait-il que cette page existe ? Vous avez une page web faite par Chronopost sur le sujet, mais les canaux pour les contacter ne sont pas clairs – numéro de téléphone et 2 adresses email -. Pour avoir appeler le numéro, c’est un service vocal où il sera difficile d’avoir une personne physique !

Que font les opérateurs ?

Sur la fraude via SMS à la livraison, pas d’information ?! Le discours des 4 opérateurs est assez communs, mais il ne racontent pas d’histoire commune, mis en image et en vidéo sur les sujets de la fraude et de l’arnaque.

Ils font tous la promotion du 33700 : la plate-forme de lutte contre les spams, mais la plupart des gens parle de fraude/arnaque. Les termes spam et phishing s’adressent plutôt à un public plus averti comme les générations nées avec un smartphone. Le site web est à revoir, une catastrophe en terme d’UX, de design, avec surtout des messages qui sont confus.

Chez Orange, il existe plusieurs pages web comme celle-ci sur le phénomène du phishing qui rappelle les bonnes pratiques. Chez Orange Belgique, une page pas mal faite avec des captures d’écrans qui explique le phishing avec le SMS.

Chez SFR, une page FAQ sur le sujet du Phishing email/SMS.

Chez Bouygues Telecom, on parle de phishing, hameçonnage qui lui redirige vers signal-spam pour l’email un partenariat public-privé ?!

Chez Free, le seul qui parle d’emblée de SMS, mais succinctement sur le sujet de la fraude.