Après le spam et le phishing, les escrocs se lancent dans le social engineering pour piéger leurs victimes qui se retrouvent parfois, bien involontairement, coauteurs de l’escroquerie
Pour qu’une arnaque atteigne son but, elle doit être crédible. Et pour qu’elle soit crédible, il faut bien connaître le pigeon auquel on va s’attaquer. Cette règle de base de la filouterie, les escrocs sévissant sur le Net s’en étaient peu souciés jusqu’à présent. Et pour cause, ils comptaient sur l’envoi massif de messages, rendu possible par l’e-mail, pour toucher suffisamment de victimes avec des pièges grossiers. Mais ces arnaques rudimentaires ont fait leur temps.
Avec la multiplication des mises en garde et la médiatisation de certaines affaires, même les internautes les plus crédules ont fini par se méfier. Du coup, pour espérer alpaguer le dindon de la farce, les aigrefins sont obligés de monter leurs supercheries avec un peu plus de finesse.
Informations personnelles
Dans son » Intelligence Report » du mois d’août (1), la société MessageLabs, spécialisée dans la sécurisation du courrier électronique, note que les arnaqueurs s’intéressent de plus en plus aux portails de réseaux sociaux, comme MySpace.
Sur ce genre de sites, l’utilisateur n’hésite pas à livrer de nombreuses informations personnelles. Et comme MySpace a surtout été conçu pour agrandir leur cercle de relations, les utilisateurs y sont aussi plus souvent enclins à entrer en contact avec des inconnus.
Par le biais de ces sites, un escroc un tant soit peu futé est capable de récolter pas mal d’informations utiles sur ses proies potentielles. Ensuite, il pourra monter une arnaque, en y glissant des éléments que seules des personnes ou des organismes connaissant la future victime sont censés connaître. Un e-mail provenant soi-disant de votre banque par exemple, sera plus crédible s’il contient votre adresse postale exacte. » L’époque où les attaques par phishing diffusées sous forme d’e-mails étaient faciles à identifier par l’utilisateur est révolue, conclut le rapport de MessageLabs. En développant des techniques de gestion de relations clients utilisées dans les sociétés, les criminels viennent de prendre une belle longueur d’avance sur les sociétés spécialisées dans les solutions de sécurité. »
» En août, nous avons connu une vague de phishing qui visait plus particulièrement les demandeurs d’emploi du pays, explique un inspecteur de la Federal Computer Crime Unit (FCCU) de la police fédérale. La chose est passée assez inaperçue. » Le message, qui émanait de l’organisation fictive Norway Consulting Group, proposait des offres d’emplois. Dans le lot, une offre concernait un boulot d’intermédiaire dans des transactions financières. Le salaire consistait en une commission de 8 % sur les montants transférés. Dans un premier temps, la réception et le versement de l’argent devaient passer par Western Union et MoneyGram.
» Même si les ficelles peuvent sembler grossières, plusieurs personnes se sont laissé berner, poursuit l’inspecteur. Une affaire est même à l’instruction dans le nord du pays. Ce qui est regrettable, c’est qu’une des victimes pourrait se retrouver inculpée pour blanchiment d’argent. Les sommes transférées provenaient d’autres escroqueries. En recevant l’argent sur son compte bancaire et en le reversant, l’intermédiaire est devenu coauteur du délit. » Outre la saisie du matériel informatique utilisé, le quidam risque une peine de prison et l’obligation de rembourser l’argent perçu.
Régulièrement confrontée à ce genre d’affaires, la FCCU (2) demande de ne jamais répondre à des sollicitations qui proposent de se faire de l’argent rapidement. Si quelqu’un a néanmoins réagi en toute bonne foi à ce type d’e-mails, il lui est vivement recommandé d’aller déposer plainte auprès de la police locale.
Informations : (1) www.messagelabs.com; (2) www.police.be.
Vincent Genot
