[ad_1]

De nombreuses personnes soucieuses de la sécurité pensent probablement qu’elles ne tomberont jamais dans le piège d’une escroquerie par hameçonnage par téléphone. Mais si votre réponse à une telle arnaque implique autre chose que de raccrocher et de rappeler l’entité qui prétend appeler, vous pourriez avoir un réveil brutal. Voici comment un lecteur averti en matière de sécurité et de technologie s’est fait prendre pour plus de 10 000 $ dans une ruse élaborée qui a duré des semaines.

La leçon d’aujourd’hui sur la façon de ne pas se faire arnaquer vient de « Mitch », le pseudonyme que j’ai choisi pour un lecteur en Californie qui a partagé son histoire déchirante sous couvert d’anonymat. Mitch est un vétéran de l’industrie technologique – ayant travaillé dans la sécurité pendant plusieurs années dans un service basé sur le cloud assez important – il est donc naturellement gêné d’avoir été dupé par ce système de confiance.

Le vendredi 17 avril, Mitch a reçu un appel de ce qu’il pensait être son institution financière, l’avertissant qu’une fraude avait été détectée sur son compte. Mitch a déclaré que l’identification de l’appelant pour cet appel entrant affichait le même numéro de téléphone que celui imprimé au dos de sa carte de débit.

Mais Mitch en savait assez sur les escroqueries pour comprendre que les fraudeurs peuvent usurper des numéros de téléphone et le font souvent. Ainsi, alors qu’il était toujours au téléphone avec l’appelant, il s’est rapidement connecté à son compte et a constaté qu’il y avait effectivement plusieurs transactions non autorisées remontant à plusieurs semaines. La plupart étaient des frais relativement faibles – moins de 100 $ chacun – mais il y a également eu deux retraits très récents de 800 $ aux distributeurs automatiques de billets en Floride.

Si l’appelant avait été un fraudeur, raisonnait-il à l’époque, ils auraient demandé des informations personnelles. Mais la gentille dame au téléphone n’a pas demandé de détails personnels à Mitch. Au lieu de cela, elle lui a calmement assuré que la banque annulerait les frais frauduleux et a déclaré qu’elle lui enverrait une nouvelle carte de débit par courrier express. Après s’être assuré que le représentant savait quelles transactions n’étaient pas les siennes, Mitch a remercié la femme de l’avoir averti et a raccroché.

Le lendemain, Mitch a reçu un autre appel concernant une fraude présumée sur son compte bancaire. Quelque chose dans cette conversation ne semblait pas correct, et Mitch a donc décidé d’utiliser un autre téléphone pour appeler le service client de sa banque, tout en gardant le premier appelant en attente.

« Lorsque le représentant a finalement répondu à mon appel, je leur ai demandé de confirmer que j’étais au téléphone avec eux sur l’autre ligne lors de l’appel qu’ils ont lancé vers moi, et donc le représentant a en quelque sorte vérifié et a vu qu’il y avait un autre appel actif avec Mitch. , » il a dit. « Mais il s’est avéré que cet autre appel était que les attaquants parlaient également à ma banque en se faisant passer pour moi. »

Mitch a déclaré que son institution financière avait par le passé vérifié son identité par téléphone en lui envoyant un code à usage unique au numéro de téléphone portable enregistré pour son compte, puis en lui demandant de relire ce code. Après avoir raccroché avec le représentant du service client qu’il avait appelé, la personne au premier appel a déclaré que la banque lui enverrait un code à usage unique pour valider son identité.

Maintenant convaincu qu’il parlait avec un représentant de sa banque et non avec un fraudeur, Mitch a relu le code qui est apparu par SMS peu de temps après. Après plus d’assurances que tous les faux frais supplémentaires seraient crédités sur son compte et qu’il recevrait bientôt une nouvelle carte, Mitch était ennuyé mais autrement satisfait. Il a déclaré avoir vérifié son compte en ligne plusieurs fois au cours du week-end, mais n’avoir vu aucun autre signe d’activité non autorisée.

C’est-à-dire jusqu’au lundi suivant, lorsque Mitch s’est de nouveau connecté et a vu qu’un virement bancaire sortant de 9 800 $ avait été enregistré sur son compte. À ce moment-là, Mitch s’est rendu compte que les appels du vendredi et du samedi qu’il avait reçus provenaient probablement d’escrocs – et non de sa banque.

Un autre appel à son institution financière et une escalade vers son service des fraudes ont confirmé ce soupçon: l’enquêteur a déclaré qu’un autre homme avait appelé samedi en se faisant passer pour Mitch, avait fourni un code à usage unique que la banque avait envoyé par SMS au numéro de téléphone enregistré pour le compte de Mitch. – le même code que le vrai Mitch avait été amené à abandonner – puis a lancé un virement bancaire sortant.

Il semble que l’appel initial de vendredi visait à lui faire croire que sa banque était au courant et répondait à une fraude active contre son compte, alors qu’en réalité la banque ne l’était pas à ce moment-là. De plus, l’appel du vendredi a aidé à organiser le plus gros braquage le lendemain.

Mitch a déclaré que lui et sa banque pensaient maintenant qu’à un moment donné, sa carte de débit et son code PIN avaient été volés, très probablement par un dispositif d’écrémage planté dans un terminal de point de vente, une pompe à essence ou un guichet automatique compromis qu’il avait utilisé au cours des dernières semaines. . Armés d’une copie contrefaite de sa carte de débit et de son code PIN, les fraudeurs pourraient retirer de l’argent de son compte aux guichets automatiques et aller faire des emplettes dans les magasins à grande surface pour divers articles. Mais pour retirer beaucoup d’argent de son compte d’un coup, ils avaient besoin de l’aide de Mitch.

Pour aggraver les choses, l’enquêteur sur la fraude a déclaré que le virement bancaire de 9 800 $ avait été envoyé sur un compte d’une banque en ligne uniquement qui était également au nom de Mitch. Mitch a déclaré qu’il n’avait pas ouvert ce compte, mais que cela avait peut-être aidé les fraudeurs à éviter tout signalement de fraude pour le virement bancaire non autorisé, puisque du point de vue de la banque, Mitch ne faisait que virer de l’argent sur un autre de ses comptes. Maintenant, il est confronté à la tâche ardue de faire nettoyer le vol d’identité (fraude à un nouveau compte) dans la banque en ligne uniquement.

Mitch a déclaré qu’avec le recul, il y avait plusieurs bizarreries qui auraient dû être des drapeaux rouges supplémentaires. D’une part, lors de son appel sortant à la banque samedi alors qu’il avait les fraudeurs en attente, le représentant du service client lui a demandé s’il rendait visite à sa famille en Floride.

Mitch a répondu que non, il n’avait aucun membre de sa famille vivant là-bas. Mais lorsqu’il s’est entretenu avec le service des fraudes de la banque le lundi suivant, l’enquêteur a déclaré que les fraudeurs se faisant passer pour Mitch avaient réussi à ajouter un faux «avis de voyage» à son compte – notifiant essentiellement à la banque qu’il se rendait en Floride et qu’il devrait ignorer toute alerte de fraude géographique créée par des transactions avec carte dans cette région. Cela expliquerait pourquoi sa banque n’a rien vu d’étrange à propos de son client californien utilisant soudainement sa carte en Floride.

De plus, lorsque le faux représentant du service client l’a appelé, elle a un peu trébuché lorsque Mitch a renversé la situation. Dans le cadre de son faux script de vérification des clients, elle a demandé à Mitch d’indiquer son adresse physique.

« Je lui ai dit: » Tu me dis « , et elle m’a lu l’adresse de la maison dans laquelle j’ai grandi », se souvient Mitch. « Donc, elle parcourait des documents publics qu’elle avait trouvés, apparemment, parce qu’ils connaissaient mes anciens employeurs et adresses. Et elle a dit : ‘Monsieur, je suis dans un centre d’appels et il y a des caméras au-dessus de ma tête. Je fais juste mon travail. Je pensais juste qu’elle était juste nouvelle ou merdique à son travail, mais qui sait peut-être qu’elle disait la vérité. Quoi qu’il en soit, pendant tout ce temps, ma petite amie est assise à côté de moi en train d’écouter cette conversation et elle se dit: « Ça ressemble à des conneries. »

La banque de Mitch a réussi à annuler le virement bancaire non autorisé avant qu’il ne puisse se terminer, et ils ont depuis remis tous les fonds volés sur son compte et émis une nouvelle carte. Mais il a dit qu’il se sentait toujours comme un imbécile pour ne pas avoir observé la règle d’or : si quelqu’un appelle en disant qu’il vient de votre banque, raccrochez simplement et rappelez-le – idéalement en utilisant un numéro de téléphone provenant du site Web de la banque ou du au dos de votre carte de paiement. En l’occurrence, Mitch n’a suivi que la moitié de ce conseil.

Quoi d’autre aurait pu rendre plus difficile pour les fraudeurs d’en obtenir un sur Mitch ? Il aurait pu activer les alertes mobiles pour recevoir des SMS chaque fois qu’une nouvelle transaction est publiée sur son compte. Sans cela, il aurait pu surveiller de plus près le solde de son compte bancaire.

Si Mitch avait auparavant placé un gel de sécurité sur son dossier de crédit auprès des trois principaux bureaux de crédit à la consommation, les fraudeurs n’auraient probablement pas été en mesure d’ouvrir un nouveau compte courant en ligne à son nom avec lequel recevoir le virement bancaire de 9 800 $ (bien qu’ils pourraient ont quand même pu virer l’argent sur un autre compte qu’ils contrôlaient).

Comme le montre l’expérience de Mitch, de nombreuses personnes soucieuses de la sécurité ont tendance à se concentrer sur la protection d’elles-mêmes en ligne, tout en écartant peut-être la menace des escroqueries téléphoniques moins sophistiquées sur le plan technique. Dans ce cas, Mitch et sa banque ont déterminé que ses agresseurs n’avaient jamais essayé de se connecter à son compte en ligne.

« Ce qui est intéressant ici, c’est que l’intégralité de la fraude a été réalisée par téléphone, et à aucun moment les escrocs n’ont compromis mon compte en ligne », a déclaré Mitch. « J’aurais absolument dû raccrocher et lancer l’appel moi-même. Et en tant que professionnel de la sécurité, cela fait partie de la honte que je supporterai longtemps.

Lecture complémentaire :

Les escroqueries par hameçonnage vocal deviennent de plus en plus intelligentes
Pourquoi les numéros de téléphone puent comme preuve d’identité
Les escroqueries par hameçonnage Apple Phone s’améliorent
Hameçonnage par SMS + DAB sans carte = Profit

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *