Les Français sont dans le viseur des cybercriminels. Forts des innombrables fuites de données recensées l’année dernière, les pirates sont en mesure de tendre des pièges sophistiqués aux internautes. Selon une étude du service statistique ministériel de la sécurité intérieure(Nouvelle fenêtre) (SSMSI), les arnaques en ligne font de plus en plus de victimes dans l’Hexagone. En 2023, les escrocs ont piégé plus de 400 000 Français. D’après le rapport de l’Observatoire de la Sécurité des Moyens de Paiement, la fraude a atteint un total de 1,195 milliard d’euros en France en 2023.
Dans ce contexte, on a dressé la liste des sept astuces principales des escrocs pour parvenir à leurs fins. Cette liste, non exhaustive, doit vous permettre de repérer les interactions avec un cybercriminel, que ce soit par mail, sur Facebook, Instagram ou par SMS.
À lire aussi : Cyberattaque record – Cloudflare bloque la plus puissante attaque DDoS jamais vue
L’IA et les deepfakes
Pour berner leurs cibles, les pirates se tournent de plus en plus vers l’intelligence artificielle générative. Avec des chatbots comme ChatGPT, Gemini ou encore des IA personnalisées taillées pour le crime, il est possible de rédiger des contenus convaincants, persuasifs et sans la moindre faute d’orthographe. De facto, n’importe quel pirate peut écrire de longs messages dans un français irréprochable, même s’il ne s’agit pas de sa langue maternelle. Ne vous fiez donc pas à la manière dont votre interlocuteur communique avec vous.
L’essor de l’IA s’accompagne d’ailleurs d’une explosion des deepfakes, ces contenus manipulés par des algorithmes. Armés d’un générateur d’image ou d’un cloneur de voix, les escrocs peuvent se faire passer pour un collègue ou encore une célébrité. On se souviendra d’ailleurs que des escrocs se sont servis d’images générées par l’IA pour duper un important directeur financier. L’an dernier, un employé d’une multinationale d’Hong-Kong a participé à une fausse réunion avec plusieurs de ses responsables, représentés par des deepfakes. Ces vidéos générées par l’IA ont convaincu le directeur financier de transférer une fortune sur un compte. Il a ainsi envoyé plus de 25 millions de dollars à des cybercriminels.
Pire, certains pirates n’hésitent pas à singer les personnes les plus proches de vous pour vous attirer dans leurs filets. En clonant la voix de votre moitié ou d’un de vos enfants, le pirate va vous contacter par téléphone. Vous entendrez alors une voix connue qui vous demandera de réaliser un versement dans les plus brefs délais, généralement pour une question de vie ou de mort. Happée par l’émotion, la victime va obtempérer, sans se rendre qu’elle vient de confier ses économies à un criminel. Avant d’agir sous l’effet des émotions, on vous conseille de tout faire pour confirmer le récit de votre proche par d’autres moyens. En cas de doute, n’hésitez pas à l’interroger sur des questions privées, auxquelles les pirates n’ont pas de réponse.
Le love bombing
Les cybercriminels n’hésitent pas non plus à jouer avec les sentiments de leurs cibles. Par le biais d’applications de rencontre, comme Tinder, Meetic, Fruitz ou encore Grindr, ils vont nouer une relation amoureuse avec leur victime. Pour berner les cibles, ils se servent d’un faux profil aussi parfait qu’irréel et se lancent dans une opération de « love bombing ». Cette technique de manipulation affective qui consiste à submerger une personne d’attentions excessives, de compliments et d’affection dans le but de la séduire rapidement et de créer une dépendance émotionnelle.
L’affaire du faux Brad Pitt, qui a fait grand bruit il y a quelques semaines en France, illustre à merveille les pratiques des criminels. Un escroc en provenance du Nigéria s’est fait passer pour l’acteur Brad Pitt afin de séduire Anne, une quinquagénaire mariée à un millionnaire. Après des mois de discussions enflammées, l’escroc a convaincu sa cible qu’ils étaient en couple. Il a demandé à celle-ci de lui envoyer de l’argent. Il a ainsi extorqué plus de 800 000 euros à sa victime.
Dans le cadre de ces arnaques sentimentales, les cybercriminels vont massivement se servir des deepfakes. En manipulant les images avec l’IA, les escrocs peuvent faire croire tout ce qu’ils veulent à leur interlocuteur. Ils peuvent se montrer dans des lieux paradisiaques ou tenir une pancarte avec le nom de leur cible, en plus de la date du jour. Parfois, un simple montage réalisé avec Photoshop suffit à berner les interlocuteurs, peu rodés aux usages du web.
Après un temps, des jours, des semaines ou des mois, les escrocs vont venir quémander de l’argent à leur interlocuteur. Persuadé d’avoir trouvé l’âme sœur, celui-ci est susceptible d’accepter les requêtes de l’escroc.
Guilt tripping : le ressort de la compassion
Les criminels jouent aussi très souvent la carte de la compassion. Après être entrés en contact avec leurs cibles, les pirates vont prétexter des difficultés financières quelconques. Ils peuvent inventer des scénarios rocambolesques dans lesquels ils se retrouvent cloués sur un lit d’hôpital ou perdus dans un pays étranger. Ce type de manipulation s’intitule le « guilt tripping ». Elle consiste à manipuler une personne en exploitant sa culpabilité pour obtenir quelque chose. L’objectif est de susciter de la pitié afin que la personne ciblée se sente obligée de répondre aux attentes de son interlocuteur par tous les moyens.
On se souviendra que l’arnaqueur de Tinder avait opté pour cette stratégie. Après avoir tout fait pour que ses cibles tombent amoureuses de lui, Simon Leviev avait raconté une histoire invraisemblable mettant en scène des ennemis de sa famille. Le jeune homme, qui se présentait comme un milliardaire, affirmait que des personnes influentes cherchaient à s’en prendre à lui. À plusieurs reprises, il a prétexté des attaques contre sa personne, photos à l’appui. Il partageait notamment une photo d’un de ses prétendus gardes du corps sur un lit à l’hôpital. Après avoir suscité l’inquiétude et la compassion de sa cible, il alléguait ne plus pouvoir se servir de ses comptes en banque pour éviter d’être repéré. C’est là qu’il demandait de l’argent à ses victimes. De cette manière, il a volé des millions d’euros à des dizaines de jeunes femmes.
Certains escrocs, ou « brouteurs » dans le jargon, n’hésitent pas non plus à menacer de se suicider pour susciter la compassion de leur cible. C’était le cas du faux Brad Pitt évoqué plus haut. En faisant culpabiliser leur victime, les escrocs parviennent souvent à obtenir de nouveaux paiements.
La peur
Le plus souvent, les pirates cherchent à faire peur aux internautes et à créer un faux sentiment d’urgence. Une fois que la terreur s’est emparée des victimes, celles-ci peinent à réfléchir et à prendre des décisions éclairées. Elles sont dès lors plus susceptibles d’obéir aux cybercriminels sans se poser de question.
Pour y parvenir, les pirates usent de différentes astuces. L’une des plus répandues est celle de la fausse facture. En règle générale, les pirates vont vous envoyer une fausse facture par mail avec un montant à payer mirobolant. Il peut s’agir d’une commande en ligne, d’une contravention ou d’un quelconque impayé. Ce faux document doit mettre la pression sur le destinataire. Dans le mail, les pirates glissent un lien ou une adresse de contact. Pour en savoir plus sur cette mystérieuse facture impayée, vous allez fort logiquement vous rendre sur le lien. C’est à ce moment-là que les cybercriminels vont vous réclamer des informations personnelles, dont des coordonnées bancaires.
Dans le même genre, il y a aussi l’arnaque à la livraison de colis. Par SMS, les escrocs se font passer pour des services de livraison tels que La Poste, Colissimo, DPD, Chronopost ou UPS. Ils prétendent qu’un colis est en attente, a été expédié ou n’a pas pu être remis. Pour finaliser la livraison, le message exige un paiement urgent, invoquant des frais de port, des taxes ou des droits de douane afin de tromper la vigilance des victimes. Là encore, les escrocs font tout pour provoquer un sentiment d’urgence qui laisse peu de place à la prudence. Citons aussi les faux mails indiquant que votre compte Facebook, Netflix, Disney+ ou Instagram a été piraté, ou que votre ordinateur a été bloqué par la police.
A lire aussi : Voici les mails de phishing les plus répandus du web
FOMO : comment exploiter l’avidité
Dans d’autres arnaques, les pirates cherchent plutôt à profiter de l’appât du gain des internautes. Pour surfer sur la cupidité de leurs cibles, les escrocs vont mettre en ligne de fausses opportunités d’investissement, notamment avec des cryptomonnaies. Ces escroqueries promettent de gagner des sommes colossales et des rendements stratosphériques en quelques clics. C’est le cas des arnaques aux fausses cryptos, qui pullulent sur les réseaux sociaux. Les pirates prétendent qu’il suffit d’acheter une devise numérique pour gagner de l’argent. En fait, ils vont surtout en profiter pour collecter vos coordonnées bancaires.
Citons aussi les offres trop belles pour être vraies, qui se multiplient pendant les soldes ou les fêtes de fin d’année. Bien souvent, les pirates appâtent leurs victimes avec des produits à prix cassé, comme des iPhone à quelques dizaines d’euros.
« Conditionner vos achats à la quête de bonnes affaires n’est pas une mauvaise idée, mais partager vos informations peut être extrêmement dangereux, car toute donnée personnelle peut être reliée à vous et finir entre de mauvaises mains », déclare Iskander Sanchez-Rola, directeur de l’innovation pour Norton.
Pour parvenir à piéger les internautes, les criminels s’appuient sur le phénomène FOMO (acronyme de Fear Of Missing Out, en anglais). Il s’agit de la peur de passer à côté de quelque chose, comme d’une opportunité financière ou d’un iPhone gratuit. Les pirates ont bien conscience de la manière dont l’esprit des internautes fonctionne. C’est pourquoi ils vont calibrer leurs communications pour provoquer cette crainte, qui provoque généralement des comportements impulsifs. Plus la victime va se montrer impulsive, plus elle risque de tomber la tête la première dans le piège.
L’usurpation d’identité
L’une des stratégies préférées des escrocs consiste à usurper l’identité d’une entité ou d’une personne de confiance. Ils choisissent bien souvent le support technique d’une entreprise, le conseiller client d’une banque, ou encore une quelconque entité officielle, comme le fisc. Par mail ou par SMS, ils prétendront entrer en contact au nom de cette entité.
« La nouveauté, depuis 2022, consiste à contacter une personne par téléphone dans les jours suivant un phishing en se faisant passer pour un conseiller bancaire. Au prétexte d’avoir repéré des opérations suspectes sur ses comptes, le faux banquier propose à la victime de régler le problème avec elle », explique l’expert en cybersécurité Jean-Jacques Latour au Figaro.
Pour endormir la méfiance des internautes, les pirates se servent d’une adresse mail similaire à l’adresse officielle ou d’un en-tête officelle. Ces éléments vont venir rassurer la cible. Quand celle-ci est persuadée de communiquer avec sa banque ou une entreprise réputée, elle va baisser sa garde et accepter de communiquer des informations personnelles. Bien souvent, ces pièges aboutissent au vol de coordonnées bancaires.
« Pour se protéger, il est crucial de vérifier l’adresse e-mail de l’expéditeur, de chercher d’éventuelles fautes dans le contenu, et de toujours se méfier des liens et des demandes de renseignements personnels », conseille Maud Lepetit, Responsable France chez Surfshark.
La manipulation des résultats de recherche
De plus en plus, les cybercriminels parviennent à manipuler les résultats affichés par les moteurs de recherche, dont l’incontournable Google. Les pirates vont s’appuyer sur une série de tactiques pour faire apparaître leurs sites web malveillants en tête des résultats de recherche. Lorsque vous taperez un mot clé sur Google, vous tomberez d’abord sur des sites conçus par des cybercriminels. Les pirates se sont déja servis de cette astuce pour diffuser des pubs pour de faux sites de VPN sur Google ou, plus récemment, pour déployer un virus appelé Playfulghost.
« L’utilisation de tactiques qui tirent parti de l’enthousiasme des consommateurs et de leur confiance dans les marques reconnues est un moyen efficace pour les acteurs de la menace de parvenir à leurs fins », analyse Olga Svistunova, experte en sécurité chez Kaspersky.
Cette stratégie donne l’impression aux internautes que les sites web sont légitimes et inoffensifs. Une fois rassurés, ils vont télécharger tous les contenus proposés par le site, sans se douter une seule seconde qu’il peut s’agir de virus. Avant d’installer un contenu trouvé sur la toile, prenez le temps de consulter l’URL.
« Avant de renseigner des informations personnelles ou d’effectuer un paiement, vérifiez la légitimité du site web. Vérifiez l’URL, recherchez des avis d’autres clients et assurez-vous que le site est sécurisé par la mention “https”», recommande Jakub Kroustek, Directeur de la recherche des menaces pour Avast.
On a fait le tour des principales stratégies employées par les pirates pour vous piéger en ligne. En gardant en tête ces différentes astuces criminelles, on espère que vous pourrez vous protéger et éviter de faire partie des victimes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
