Le phishing, ça c’était avant : place aux fraudes au paiement par autorisation dans lesquelles on vous fait dire OK par téléphone

Le APP (Authorised Push Payment Fraud – fraude au paiement par autorisation) serait une des techniques de fraude en forte croissance au Royaume Uni, et combinerait des techniques sophistiquées, au travers de SMS et d’appels, pour soutirer de l’argent aux victimes. 19 370 cas auraient été répertoriés au Royaume Uni au cours de ces 6 derniers mois selon le daily mail. Quelles sont les techniques ici employées ? La France est-elle touchée ? 

Denis Jacopini : Cette technique de fraude utilise de nombreux ingrédients de base :

• L’ingénierie sociale (pratique utilisant des techniques de manipulation psychologique afin d’aider ou nuire à autrui)
• L’usurpation (d’identité);
• Le passage en mode émotionnel par la peur ;
• L’interlocuteur est votre sauveur et est là pour vous aider.

Dans le cas précis, nous avons aussi :

• L’usurpation du nom de la banque ;
• L’usurpation du numéro de téléphone de la banque ;
• Le passage en mode émotionnel de la victime basé sur la peur du piratage mais heureusement elle est en ligne avec un sauveur (baisse de la prudence, confiance aveugle…) ;
• La création d’une ambiance téléphonique de centre d’appel ;
• Un excellent comédien qui joue le rôle de l’employé de banque ;
• Une excellente connaissance des procédures internes des banques dont la banque usurpée.

En France, ce type d’arnaque n’est pas encore médiatisé. En effet, les banques n’aiment pas tellement communiquer sur leurs failles car :

• Ce n’est pas bon pour leur image ;
• Elles sont ensuite obligées de dépenser beaucoup pour corriger ;
• Elles préfèrent investir lorsque la fraude commence à leur coûter plus cher que les mesures de sécurité à mettre en place (gestion du risque).

Ces nouvelles techniques de fraude marquent elles une réelle professionnalisation de cette forme de criminalité ? 

Denis Jacopini : Cette forme de criminalité existe depuis très longtemps et n’a pas attendu l’informatique et Internet pour se développer et se professionnaliser. Prétexter un gros risque et usurper l’identité des pompiers, des policiers, du plombier en utilisant leur costume, leur jargon, leur outils pour vous rassurer et reviennent ensuite pour mieux vous arnaquer ou vous cambrioler existe depuis que les escrocs existent.

Plus récemment, Gilbert Chikli Pionnier de l’arnaque au faux président, utilisait des techniques de manipulation psychologique et se servait de sa parfaite connaissance des procédures internes aux très grandes entreprises et sa maîtrise du langage juridique ou financier en fonction de l’identité de la personne usurpé pour obtenir de ses victimes des virements définitifs pour des sommes détournées de plusieurs dizaines de millions d’euros.

Chaque fois que des techniques d’arnaque ou d’escroquerie sont déjouées, décortiquées et dévoilées au grand jour, il y a des millions d’escrocs du dimanche vont analyser l’arnaque pour la reproduire et l’utiliser pour eux. Une fois que l’arnaque commence à être connue et de plus en plus de gens sont sensibilisés, les escrocs professionnels et utilisant leur génie à des fins illicites modifient leurs techniques pour toujours utiliser des moyens basés sur les ingrédients de base + des failles inexploitées utilisant ou non la technologie.

Comme les banques ont mis en place des mesures de sécurité utilisant l’internet, le SMS, le téléphone, les escrocs utilisent ces mêmes technologies en recherchant le moyen d’exploiter les failles qui ne seront jamais suffisamment protégées : Les failles du cerveau humain.

Quels sont les réflexes à avoir pour éviter tout problème de ce type ?

Denis Jacopini : Le seul moyen que nous avons pour nous protéger est d’une part la prudence ultime en plus de la sensibilisation. Selon moi, les médias devraient signaler ce type d’arnaque afin de sensibiliser le plus grand nombre. Cependant, cette solution ne plait pas aux banques qui considèrent inutile de répandre la peur car cela risquerait d’écorcher de manière irréversible la confiance que nous avons mis des années à avoir envers les moyens de paiement électronique sur Internet.

A notre niveau, si j’ai un conseil à vous donner pour éviter tout problème de ce type, si vous vous trouvez dans une situation anormale qui vous est présenté par un interlocuteur, contactez directement l’établissement à l’origine de l’appel à partir des coordonnées dont vous disposez, et allez jusqu’au bout de la vérification AVANT de réaliser des opérations financières irréversibles et partagez le plus possible les cas d’arnaques.

Quand on sait à quoi ressemble le loup, on ne le fait pas rentrer dans sa bergerie. Par contre, s’il met un nouveau costume, le piège fonctionnera tant que ce nouveau costume ne sera pas connu du plus grand nombre. (d’où l’utilité de mon livre CYBERARNAQUES 😉

https://www.amazon.fr/Cyberarnaques-Denis-JACOPINI/dp/2259264220