Si les tentatives de phishing type « arnaque africaine » ne trompent plus grand monde – le « bonjour, j’ai un service à te demander » d’un ami, ou le gain pharaonique à attendre pour aider un dignitaire ou sa famille en exil – les malandrins savent aussi faire preuve d’inventivité pour tromper y compris les utilisateurs avertis. Ainsi Pieter Gunst, CEO de Legal.io, une entreprise de services juridiques, raconte la tentative d’escroquerie bancaire dont il a été victime.

« Ooh, j’ai été victime de la tentative de phishing la plus crédible que j’ai vécue à ce jour. Voici comment ça s’est passé », lance-t-il :

  • Allo, c’est votre banque. Nous avons noté une tentative d’utilisation de votre carte à Miami, en Floride. êtes-vous à l’origine de cette transaction ?
  • non
  • Ok, nous avons bloqué cette transaction. Pour vérifier votre identité, j’ai besoin de connaître votre numéro de membre
  • (je donne ce numéro, qui en tant que tel ne sert à rien)
  • Nous vous avons envoyé un code de vérification
  • (je reçois le code de vérification depuis le numéro habituel de ma banque, et je le donne à mon interlocuteur)
    -Ok, nous allons vérifier vos dernières transactions, dites moi si vous en êtes à l’origine. (elle me donne plusieurs opérations bancaires)
  • Oui, ce sont bien des transactions que j’ai effectué
  • Merci, maintenant nous devons bloquer le code PIN de votre compte, de manière à ce que vous receviez une alerte s’il y a une autre tentative d’opération. Quel est votre numéro PIN ?
  • Vous voulez rire ? Je ne vous donnerai pas mon code PIN.
  • Ok, mais dès lors nous ne pouvons bloquer votre carte.
  • Vous racontez des conneries. (Je raccroche et j’appelle le département des fraudes de ma banque).

La méthode suivie fonctionne aux USA, mais peut vraisemblablement fonctionner en Europe, à quelques variations près. Dès que Pieter a donné son numéro de client, l’attaquant (qui parlait un anglais parfait) l’utilise pour demander un reset de mot de passe, ce qui déclenche l’envoi du message de la banque, lequel donne du crédit à l’appel et permet le changement de mot de passe, et l’accès au compte. La liste des dernières opérations est lue pour renforcer le crédit de l’appel. Enfin, quand le « client » est mûr, on lui demande son code PIN, qui est nécessaire pour envoyer de l’argent depuis le compte piraté.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.