Allô, maman… bobo !

Arnaque dite au « ALLÔ » : c’est l’arnaque du moment, une personne avec un discours bien rodé vous appelle en se faisant passer pour votre conseiller clientèle.

Souvenez-vous, il y a quelques semaines, dans la ZATAZ Twitch Emission (rediffusion sur Youtube ZATAZ), je vous montrais les agissements de pirates informatiques spécialisés dans la technique malveillante du « ALLÔ ». La Brigade des Fraudes aux Moyens de Paiement – BFMP (Direction régionale de la Police Judiciaire) propose aux lecteurs de ZATAZ de revenir sur cette méthode pirate qui fait pas mal de dégâts.

Il faut bien comprendre que dans une attaque « Allô », l’escroc connaît déjà de nombreux éléments sur la personne visée. Ces données ont été acquises sur divers sites proposant de la donnée (certains sites sur le Dark Web, des canaux de discussion sur des applications tel que TELEGRAM, certains sites en clairs avec juste une inscription).

Ces données ont été récupérées en majeur parti par du phishing par mail (Netflix, Disney+, Banque, Impôts, Sécurité Sociale, EDF, etc) ou par des campagnes de SMS (pour la carte vitale/AMELI, le CPF) ou bien sur une fuite de données.

Donc, les escrocs ont, en majeur partie, toutes vos données personnelles. Ils ont le nom, prénom, adresse, téléphone, référence de la carte bancaire (les seize numéros, la date de validité et le cryptogramme de sécurité). Avec toutes ces informations, ils ne leur manque que la validation par le 3D Secure (ou certicode pour certaine banque) ou la validation par l’application bancaire de la victime.

Pour ce faire, ils appellent donc la victime en se faisant passer pour le conseiller clientèle. Avec leur discours bien rodé et toutes les informations en leur possession, ils tentent de se faire valider « un retour de fonds » qui en réalité est soit le code de confirmation d’achat sur un site marchand, l’ajout d’un bénéficiaire dans la section des virements ou même un virement sur un compte extérieur.

Certaines victimes en totale confiance leur donnent même les accès complets au compte

Les escrocs font des achats sur des sites de vêtements de luxe, de maroquinerie de luxe, de high tech, etc. Lorsqu’ils font des virements, ils « achètent » des comptes bancaires à des personnes (généralement 100 à 200€ par compte bancaire) et s’en servent pour recevoir les fonds. L’argent ainsi obtenu est ventilé sur d’autres comptes (principalement des banques en ligne) et partent ensuite vers l’étranger. Ils font aussi de l’investissement dans les cryptomonnaies.

Sur les comptes finaux des banques en ligne qu’ils ont préalablement ouverts sous fausses identités ou identités usurpées, ils procèdent à la décaisse en espèces.

Ces escrocs utilisent des applications ou des sites qui usurpent le numéro du service fraude de la banque de la victime (appelé spoofing) ou appellent avec un numéro loué commençant soit par 09 soit par 01.86 (numéro de standard pour des petites entreprises).

Dans leur discours, quand ils utilisent l’usurpation de numéro, ils vous demandent de vérifier le numéro sur Internet pour « prouver » que ce numéro est le numéro original de la banque.

Méfiez-vous des appels téléphoniques

Dans une enquête où une victime habitait en province dans une petite ville, l’escroc connaissait son agence de domiciliation du compte ainsi que le nom de sa conseillère clientèle. La victime a donc été en totale confiance et s’est rendue compte qu’elle s’était fait escroquer que quelques jours après, une fois qu’elle a eu sa vraie conseillère au téléphone.

Un conseil si vous recevez ce genre d’appel. Il faut raccrocher et rappeler le numéro de sa banque. Il faut composer soit même le numéro et nom se servir de l’historique du téléphone. Le mieux est de se déplacer directement à son agence. Les escrocs appellent le plus souvent le soir ou le week-end, ils font « paniquer » la victime et disent agir dans l’urgence.

Un autre conseil, le personnel de la banque ne vous demandera jamais de code ou d’accès à votre application. Avec ses accès à lui, il n’a pas besoin de vous demander quoique se soit pour avoir accès et visualiser votre compte.

A savoir, les banques refusent dans la plus grande majorité du temps à rembourser les victimes. A leurs yeux, cela est une négligence du client et n’engage donc pas sa responsabilité. Très peu de victimes ont été remboursées.

Ce type d’escroquerie entraîne des milliers voir des millions d’euros de préjudice.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.