Sur Instagram, des petits malfrats passent par des comptes piratés pour piéger leurs victimes. Grâce à l'identité de vos amis, ilsprétendent avoir besoin d'aider pour débloquer leur téléphone, alors qu'en réalité, ils font valider des transactions bancaires.

Le 25 juillet, Jérémy* écrit à Numerama en panique : il a peur de s’être fait pirater. Huit jours plus tôt, un ami l’a contacté sur Instagram pour une étrange demande. Son téléphone est prétendument bloqué, et il a besoin de quelqu’un pour recevoir les codes nécessaires à sa réactivation.

« Je me méfiais au début ,mais je me suis dit que c’était un ami et que je pouvais lui faire confiance », se rappelle Jérémy. Dans les minutes suivantes, le jeune homme a suivi à la lettre les indications données par son « pote » à l’écrit. Puis notre interlocuteur est «  passé à autre chose », bien qu’étonné de la fin relativement abrupte de la conversation.

Jérémy n’a pas hésité à venir en aide à son « ami ». // Source : Capture d’écran Numerama

Une semaine plus tard, alors qu’il parcourt Instagram, il tombe sur une story publiée par une autre connaissance : « Il nous conseillait de faire attention à un certain message, et il se trouve que ce message, c’est exactement le même que mon ami m’a envoyé… » Inquiet, Jérémy a le bon réflexe d’activer la double authentification sur tous ses comptes importants. Mais il ne connaît pas l’ampleur des dégâts, et se demande s’il risque un SIM swapping.

« J’ai été trop naïf et je le regrette, j’ai vraiment peur », a-t-il confié à Numerama, avant d’envoyer des captures d’écran de la conversation. Il nous a précisé qu’il n’avait remarqué aucune activité suspecte sur ses réseaux sociaux ni sur son compte en banque. Et pour cause : la manipulation dont il est victime lui a ‘seulement’ fait valider des transactions facturées sur son forfait téléphonique. L’entourloupe dont il est victime n’est en réalité qu’une nouvelle version d’un scénario déjà exploité dans les années 2000. Au final, il s’en tire à moindre mal, avec un peu moins de 72 euros de surtaxe à régler.

Quand l’arnaque vient d’une personne de confiance

L’arnaque subie par Jérémy ne requiert aucune compétence technique. Dans le jargon, on parle « d’ingénierie sociale ». Très utilisé dans les phishings, ce genre manipulation consiste à pousser la victime à l’erreur avec un scénario bien huilé. Pour piéger Jérémy, le malfrat partait avec un atout de taille, le contrôle du compte de son ami. Cette ficelle est bien connue des malfaiteurs : plus la cible a confiance en son interlocuteur, moins elle sera alertée par les éventuelles incohérences du scénario.

Résultat, les victimes s’exécutent sans trop se poser de questions. Puis, une fois qu’elles réalisent l’entourloupe, elles relisent les échanges, et se rendent compte des différents signaux d’alerte qu’elles auraient dû voir,. Par exemple, Jérémy a été surpris par la demande initiale de son ami, et il lui a répondu : « pas de soucis, mais pourquoi tu me demandes à moi ? » Son interlocuteur lui a rétorqué : « Toi le seul disponible sur mon tél » (sic) . Une phrase mal construite, sur laquelle le jeune homme ne s’est pas arrêté.

Se procurer les identifiants (nom d’utilisateur et mot de passe)  pour dérober un compte Instagram n’est pas bien compliqué pour les délinquants. Tirés de phishings, d’incidents de sécurité ou de fuites de données, ils peuvent s’acheter à la pièce ou en lot pour quelques euros, voire quelques centimes. Comme peu de personnes activent la double authentification, et comme beaucoup continuent à réutiliser le même mot de passe sur plusieurs comptes, cet achat au coût négligeable peut suffire à voler un compte.

Des transactions de 23,88 euros validées par la victime

Une fois le décor du scénario planté — Jérémy accepte d’aider son ami à «  activer son téléphone » — le malfrat le bombarde de questions. Peut-il confirmer son numéro de téléphone ? Quel est son opérateur ? Peut-il transférer le code qu’il a reçu ? Puis un second ? Puis un troisième, car le second n’a pas fonctionné ?

Les messages reçus par Jérémy auraient pu l’alerter : « Info Orange : NE PARTAGEZ JAMAIS CE CODE PIN 887474 est votre code de sécurité Orange pour valider votre achat du service Boku Pay by mobile à 23.88euro(s) » (sic). Mais « l’ami  » lui avait affirmé : « tqt pas [ne t’inquiète pas, ndlr], je sais qu’il dit 23€ mais tqt pas tu va rien payer prcq [parce que, ndlr] j’ai déjà payé les frais » (sic).

Après une petite recherche en ligne, on apprend que Boku est un service qui permet de valider une transaction en facturant le compte opérateur de l’utilisateur. Autrement dit, il paiera la somme de la transaction en plus du coût de son forfait Orange. La plupart des opérateurs permettent de bloquer ce genre de transaction, mais la protection n’est pas activée par défaut.

En l’espace d’à peine 5 minutes, Jérémy a envoyé trois codes en pensant qu’ils permettaient tous de réactiver le téléphone de son ami. En réalité, il a validé 3 achats du même montant, 23,88 euros, pour le compte de l’arnaqueur.

Le malfaiteur a poussé le vice jusqu’à faire disparaître les preuves. // Source : Capture d’écran Numerama

Comme s’il n’était pas suffisamment satisfait de sa réussite, le malfaiteur a terminé la conversation en précisant à Jérémy qu’il devait «  effacer tous les messages reçus par SMS pour recevoir le SMS de confirmation.  » Autrement dit, il a poussé sa victime à elle-même effacer les traces de la transaction frauduleuse. Dans tous les cas, Boku précise sur son site que tout achat effectué par son service de paiement ne peut être remboursé.

À la lecture de la conversation, l’arnaque semble bien trop grosse pour fonctionner, et même Jérémy le concède, a posteriori. Mais comme souvent, il suffit d’une baisse de méfiance et d’une discussion très rapide pour que le piège réussisse.

Comment éviter ce genre d’arnaque sur Instagram ?

  • Le meilleur moyen de déjouer ce genre d’arnaque reste de prendre son temps, car la précipitation jouera toujours en faveur des malfrats. Nul doute qu’avec le temps, vous remarquerez la supercherie. Par exemple, vous vous rappellerez qu’une carte SIM bloquée peut être débloquée avec le code PUK, fourni à l’achat de la carte et facile à obtenir sur votre compte opérateur, sans frais à régler.
  • Faites confiance à vos suspicions. Si une situation vous paraît louche, c’est qu’elle est effectivement louche et qu’elle mérite certainement des vérifications supplémentaires. Le nom « Boku Mobile » vous surprend ? Laissez votre ami patienter 30 secondes le temps de faire une rapide recherche sur Internet.
  • Contactez votre ami par un autre moyen. Enzo vous envoie des messages inhabituels sur WhatsApp, Messenger ou Telegram ? Passez-lui un appel pour vous assurer que c’est bien lui derrière le clavier.

Vous voulez nous raconter une fois où vous avez été arnaqué en ligne ? N’hésitez pas à nous contacter à francois.manens@humanoid.fr.

Crédit photo de la une : Instagram

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux