Parce que ça sert toujours, petit récit d’un phishing subi par une personne de mon entourage.
Un colis est attendu. Ce n’est pas à l’adresse habituelle et le commanditaire n’est présent que pour peu de jours. Un message est reçu pour avertir qu’il y a eu une difficulté et que le colis sera finalement livré dans un relai colis.
Il y a un lien pour avoir les infos. La page web demande des informations, pas mal d’informations, dont au moins nom, adresse, téléphone.
Je n’ai pas compris pourquoi mais la page a aussi incité au paiement d’un montant symbolique par carte bancaire. Normalement c’est là que ça doit coincer si ça n’a pas coincé plus haut mais entre l’attente du colis le même jour, le stress de la nouvelle adresse avec un temps contraint pour la réception, et simplement un mauvais réveil le matin, l’inattention arrive vite.
C’est là que ça devient intéressant.
Dans la journée la banque appelle au téléphone, dit qu’il semble y avoir une fraude sur la carte bancaire, qu’ils l’ont repéré, qu’il y a eu d’autres paiements dont un paiement louche de 500 € sur AirBnb.
Ils s’accordent sur un remboursement, le préposé indique qu’il va y avoir une notification à accepter sur l’application bancaire pour confirmer.
La notification arrive.
Coup de bol, ma connaissance repère avant de cliquer qu’il s’agit d’un paiement et non d’un remboursement, et se rappelle la règle « on ne valide rien et on rappelle soi-même la banque pour confirmer l’interlocuteur avant quoi que ce soit, ils sauront reprendre là où on en était si l’appel est légitime ».
La seconde étape a échoué mais ça aurait été facile de passer sans faire attention : Il y a un contexte réel de phishing quelques heures avant qui rend tout ça crédible, un coup de stress, un interlocuteur qui sait qui on est et qui renvoie vers l’environnement sécurisé de la banque.
C’était un lundi. Appel au central de gestion de la carte qui conseille de faire opposition par acquis de conscience.
Le lendemain, appel à la banque, qui accompagne. L’accès au compte est verrouillé on ne sait pas pourquoi. Ils déverrouilleront ça ensemble.
Je publie parce que je trouve l’enchainement intéressant.
On peut tous se faire avoir par du phishing pour peu que ça tombe au bon moment et que ça coïncide par chance avec une situation réelle et un contexte d’urgence. Un colis coincé, les probabilités ne sont pas nulles1.
Faire un paiement sur une page web à partir d’un lien envoyé devrait faire tiquer mais le montant symbolique ne réveille pas forcément les alertes mentales2 s’il y a un peu d’inattention suite à une situation agaçante.
Ce que je trouve intéressant c’est que cette première étape sert en fait à identifier les personnes qui sont susceptibles de se faire avoir et qui justifient un appel via un humain pour la vraie arnaque.
J’imagine qu’une fois sur ces listes il y aura d’autres tentatives, et que ma connaissance va devoir redoubler de vigilance pendant au moins 18 mois.
Il parait que la banque et le service carte ont été top. Je suis par contre furieux du déblocage du compte en banque au téléphone à partir de quelques « questions personnelles ». Ces questions personnelles on peut probablement y répondre facilement à la place de plein de proches, voire après recherche internet à la place de beaucoup d’inconnus dont on connait le nom. C’est une illusion de sécurité et c’est dramatique qu’on se repose dessus.
Je suis furieux mais cependant pas surpris. Je n’ai connaissance d’aucune banque, assurance ou opérateur téléphonique grand public qui fasse mieux de ce point de vue là. Dans le meilleur des cas il y a appel téléphonique ou échange d’email, ce qui n’est pas forcément une protection si on vient de se faire voler son smartphone.
Bref, faites attention.
- Je ne comprends toujours pas pourquoi tous les services de livraisons sont aussi mauvais. Seul Amazon semble avoir un niveau de prestation correct. C’est hallucinant qu’il soit normal et attendu d’avoir des problèmes lors de livraisons. ↩︎
- Et, là aussi, malheureusement on est tellement habitués à ce que ces services de livraisons soient pourris et profitent de tout que le paiement suite à une anomalie devient presque crédible. ↩︎
Laisser un commentaire