La plupart d’entre nous ont probablement entendu le terme « smishing » – qui est un mot-valise pour ph traditionnelpêcher escroqueries transmises SMS des messages texte. Les messages de smishing incluent généralement un lien vers un site qui usurpe une banque populaire et tente de siphonner des informations personnelles. Mais de plus en plus, les hameçonneurs se tournent vers une forme hybride de smishing – envoyant des SMS sans lien sur des virements bancaires suspects comme prétexte pour appeler et arnaquer immédiatement toute personne qui répond par SMS.
BreachTrace a récemment entendu un lecteur dire que sa fille avait reçu un SMS indiquant qu’il provenait de sa banque et lui a demandé si elle avait autorisé un paiement de 5 000 $ à partir de son compte. Le message indiquait qu’elle devait répondre «Oui» ou «Non» ou 1 pour refuser les futures alertes de fraude.
Comme cela semblait être une demande raisonnable et simple – et qu’elle avait en effet un compte à la banque en question – elle a répondu « NON ».
Quelques secondes plus tard, son téléphone portable sonna.
« Quand elle a répondu » non « , quelqu’un a appelé immédiatement et l’identification de l’appelant a indiqué » JP Morgan Chase « », a déclaré le lecteur Kris Stevens à BreachTrace. « La personne au téléphone a dit qu’elle appartenait au service des fraudes et qu’elle devait l’aider à sécuriser son compte, mais avait besoin d’informations de sa part pour s’assurer qu’elle parlait au propriétaire du compte et non à l’escroc. »
Heureusement, Stevens a déclaré que sa fille avait respecté la règle d’or concernant les appels téléphoniques entrants concernant la fraude : en cas de doute, raccrochez, recherchez et rappelez.
« Elle connaît l’exercice, alors elle a raccroché et a appelé Chase, qui a confirmé qu’ils ne l’avaient pas appelée », a-t-il déclaré. «Ce qui était différent à ce sujet, c’est que tout était très fluide. Pas d’accents étrangers, le couplage de l’appel avec le SMS et le fait qu’elle ait un compte Chase.
L’aspect remarquable de ces escroqueries par hameçonnage par téléphone est généralement que les attaquants n’essaient même jamais de se connecter au compte bancaire de la victime. L’intégralité de l’escroquerie se déroule par téléphone.
Nous ne savons pas ce que les fraudeurs à l’origine de cette escroquerie de phishing hybride SMS/voix avaient l’intention de faire avec les informations qu’ils auraient pu obtenir de la fille de Stevens. Mais dans des histoires précédentes et des reportages sur des stratagèmes de phishing vocal, les fraudeurs ont utilisé les informations phishing pour créer de nouveaux comptes financiers au nom de la victime, qu’ils ont ensuite utilisés pour recevoir et transférer d’importants virements électroniques de fonds volés.
Même de nombreuses personnes soucieuses de la sécurité ont tendance à se concentrer sur la protection d’elles-mêmes en ligne, tout en écartant peut-être la menace des escroqueries téléphoniques moins sophistiquées sur le plan technique. En 2020, j’ai raconté l’histoire de « Mitch » – le dirigeant féru de technologie de la Silicon Valley qui s’est fait hameçonner après avoir pensé qu’il avait renversé la situation des escrocs.
Contrairement à la fille de Stevens, Mitch n’a pas raccroché avec les escrocs présumés. Au contraire, il les a mis en attente. Ensuite, Mitch a appelé sa banque sur l’autre ligne et a demandé si les personnes de son service client étaient en fait engagées dans une conversation séparée avec lui par téléphone.
La banque a répondu qu’elle parlait effectivement au même client sur une ligne différente à ce moment précis. Se sentant mieux, Mitch a repris la ligne avec les escrocs. Ce que Mitch ne pouvait pas savoir à ce moment-là, c’est qu’un membre de l’équipe du fraudeur se faisait passer pour lui au téléphone avec le personnel du service client de la banque.
Alors ne sois pas Mitch. N’essayez pas de déjouer les escrocs. Rappelez-vous simplement ce mantra anti-fraude et répétez-le peut-être plusieurs fois devant vos amis et votre famille : en cas de doute, raccrochez, levez les yeux et rappelez. Si vous pensez que l’appel est légitime, recherchez le numéro de l’organisation censée vous appeler et rappelez-la.
Et je suppose que le même conseil consacré de ne pas répondre aux spams vaut doublement pour les messages texte non sollicités : en cas de doute, il est préférable de ne pas répondre.