Les escrocs ne connaissent pas de pause estivale. Actuellement, les Suisses reçoivent à nouveau en masse des messages de phishing sur leur natel. La dernière grande vague a été observée au début de l'année. Dans la campagne actuelle de «smishing» (hameçonnage par SMS), les messages sont à nouveau envoyés au nom de la Poste.
Le message dit en allemand ceci: comme l'adresse est incomplète, l'envoi ne peut pas être livré. Il faut donc actualiser l'adresse «dans les douze heures en cliquant sur le lien ci-dessous».
Voici à quoi ressemblent les messages:
Le lien indiqué mène à une copie parfaite du site web de la Poste. Il faut y actualiser son adresse, y compris son adresse électronique et son numéro de téléphone. Des frais de service sont alors exigés pour la nouvelle distribution. Ces frais peuvent être payés en ligne par carte de crédit. Les criminels visent donc vos données personnelles et les données de votre carte de crédit pour s'enrichir.
Contrairement aux précédents SMS d'hameçonnage, les liens utilisés ne sont plus aussi visiblement reconnaissables comme étant une escroquerie. L'indicatif téléphonique +44 ressemble également à l'indicatif suisse +41. Dans les SMS précédents, l'escroquerie était beaucoup plus facile à détecter, avec des numéros de téléphone «exotiques».
Le message provient sans doute du smartphone infecté d'une autre victime. Celle-ci ne sait probablement pas que son téléphone portable est utilisé pour escroquer d'autres personnes.
Swisscom, Sunrise et Salt utilisent des filtres contre les SMS frauduleux. Le problème: les criminels contournent de plus en plus souvent les filtres anti-spam des fournisseurs de téléphonie mobile. Pour ce faire, ils envoient, depuis quelque temps, leurs messages via iMessage aux utilisateurs d'iPhone ou RCS aux utilisateurs d'Android, au lieu de SMS. Ces messages texte plus modernes et promus par Apple et Google ne sont pas filtrés par Swisscom (et autres opérateurs) et ne peuvent pas être bloqués parce que cryptés (comme par exemple iMessage ou WhatsApp).
Les fabricants de smartphones comme Google essaient donc de bloquer les escrocs directement sur le smartphone. Cela fonctionne d'autant mieux si les messages de phishing sont signalés rapidement par les personnes concernées.
Les fausses pages web de la Poste ont également rapidement été bloquées par Google dans le navigateur Chrome. Si on clique sur le lien, on reçoit donc le message suivant:
Le blocage n'est que temporairement efficace. Si un site de phishing est bloqué, les auteurs en mettent un nouveau en ligne dans la foulée.
Les attaques de phishing sont en grande partie automatisées. Selon la police cantonale zurichoise, «des centaines de personnes sont contactées simultanément afin d'augmenter le taux de réussite». Pour l'envoi en masse des SMS, «on utilise des passerelles SMS (logiciel ou matériel)». Celles-ci permettent, via des applications, l'envoi à grande échelle de messages depuis l'étranger.
Les escrocs se créent donc un compte auprès des fournisseurs de tels services et peuvent atteindre des milliers de numéros de portables suisses en un seul clic grâce à ce que l'on appelle des «Large Accounts» sans grands frais. Comme les opérateurs téléphoniques ont réagi il y a quelques années au flot de spams en mettant en place des filtres SMS, les criminels se rabattent sur les messages RCS, iMessage ou WhatsApp.
De telles campagnes de phishing par messages se multiplient dans le monde entier, car elles peuvent être menées avec une infrastructure relativement simple et sans connaissances expertes. De plus, les outils d'intelligence artificielle permettent de créer rapidement et sans erreur n'importe quelle variation de messages textuels et de pages web factices dans diverses langues.
«Il faut en premier lieu bien vérifier si le numéro de téléphone de l'expéditeur est plausible, si la langue est correcte et si le nom de l'expéditeur est valable», explique la Poste.
En principe, la Poste ne demande jamais à ses clients, par e-mail, SMS ou téléphone, de fournir des éléments de sécurité personnels comme des mots de passe ou des données de carte de crédit.
Il est très important de toujours vérifier les liens avant de cliquer dessus. L'expert en sécurité Daniel Stirnimann de la fondation Switch, responsable de l'exploitation et de la sécurité des adresses Internet suisses, a un conseil à ce sujet:
Si l'on veut jouer la carte de la sécurité, il faut se rendre directement sur le site web de la poste ou du service de colis concerné dans le navigateur afin de saisir le numéro de suivi de l'envoi et de vérifier le statut du colis.
Traduit et adapté par Tanja Maeder