La Confédération alerte contre une double arnaque «perfide»
L’Office fédéral de la cybersécurité (OFCS) alerte sur une recrudescence de messages frauduleux envoyés au nom de prestataires de livraison connus comme La Poste Suisse, DHL ou DPD. Désormais, les escrocs ne se contentent plus de voler les données bancaires de la victime.
Le scénario débute généralement par un SMS ou un e-mail annonçant qu’un colis serait bloqué en raison de frais de douane, de port ou d’un problème de livraison. Pour débloquer l’envoi, la victime est invitée à payer quelques francs ou à vérifier ses coordonnées via un lien.
Ce lien mène en réalité vers un faux site internet imitant parfaitement celui d’un transporteur officiel. Les victimes y saisissent alors les informations de leur carte bancaire pour régler la prétendue petite somme demandée. Jusqu'ici, l'arnaque était connue, mais la fraude ne s’arrête plus là.
Un appel téléphonique pour finaliser l’arnaque
Les paiements par carte étant aujourd’hui souvent protégés par des systèmes de sécurité supplémentaires, comme les codes SMS ou les validations via application bancaire, les cybercriminels ont développé une nouvelle technique baptisée «double phishing».
Peu après avoir saisi leurs données, les victimes reçoivent un appel téléphonique d’une personne se présentant comme un employé du service de sécurité de leur banque ou de leur fournisseur de carte de crédit. Grâce au «spoofing», le numéro affiché peut même être authentique et «correspondre à celui de la banque réelle», indiquent les autorités.
L’interlocuteur explique alors qu’une transaction suspecte vient d’être détectée et demande de communiquer le code reçu par SMS ou de valider l’opération dans l’application bancaire afin de «bloquer» le paiement. En réalité, les escrocs utilisent à ce moment-là les données bancaires volées pour effectuer un autre versement plus important. En transmettant le code ou en validant l’opération, la victime autorise elle-même la transaction. L'OFCS qualifie l'évolution récente de cette escroquerie de «particulièrement perfide.»
Les recommandations contre ce «double phishing»
L’OFCS enjoint la population à la prudence et rappelle qu’aucune banque ne demande par téléphone ou par e-mail de communiquer des mots de passe ou des codes de sécurité.
En cas de doute, il est recommandé de ne jamais cliquer sur les liens contenus dans les SMS ou e-mails et de contacter directement le service client officiel du transporteur ou de la banque concernée. Les victimes ayant transmis leurs données bancaires doivent immédiatement faire bloquer leur carte et surveiller leurs comptes. En cas de préjudice financier, une plainte auprès de la police est recommandée. (hun)