Des malfaiteurs ont tenté de profiter de la crise sanitaire et économique pour piéger des particuliers. Leur faux site gouvernemental prétendait donner accès à une mesure d'aide financière. À la place, les victimes se sont fait voler de l'argent et leurs données personnelles.

« Le 26 mars 2020, le gouvernement a décidé de prendre des mesures complémentaires pour compenser à 95 % la perte de revenu chez les foyers éligibles  » introduit la page, avant de demander aux victimes de fournir nom, prénom, adresse et carte de crédit « pour vérifier votre identité ». Ce site, sur lequel des victimes espéraient obtenir une aide financière après un prétendu email du gouvernement, avait pour finalité d’aspirer leurs données, bancaires et personnelles.

Ce cas français n’est pas isolé : depuis janvier 2020,  l’entreprise Proofpoint a identifié plus d’une centaine de campagnes de phishing du même genre, et a fait son bilan dans un billet de blog. Les pirates se sont fait passer pour l’Organisation mondiale de la santé, pour des ONG, ou encore pour les gouvernements britanniques et canadiens.

Les pirates ont copié la mise en page d’un formulaire du gouvernement français. // Source : Proofpoint

Tous ces abus d’identité ont un objectif commun : faire miroiter une aide financière censée aider les victimes — des entreprises ou des particuliers — à traverser la crise sanitaire et économique. Les hackers ont profité de véritables annonces gouvernementales de soutien à l’économie pour construire leurs scénarios afin de récupérer de l’argent et des données.

Les malfaiteurs se font passer pour le gouvernement français

Comme tous les exemples présentés dans l’étude, le faux message du gouvernement français s’avère relativement convaincant, car il copie correctement les codes et la charte graphique des messages de l’administration, de sorte qu’un œil peu attentif puisse facilement se faire berner.

Mais en y regardant de plus près, si le bleu utilisé pour le logo gouvernemental est le bon, le gouvernement utilise pour la bannière de son site un bleu plus clair que celui de la fausse page.

Sans aller à ce niveau de détail, des signaux d’alerte plus évidents peuvent être détectés. D’abord, le site était hébergé à l’adresse covid19-info[.]net, alors que l’adresse officielle du gouvernement est gouvernement[.]fr. Ensuite, le gouvernement, ou toute organisation de l’administration ne demandera jamais aux citoyens d’entrer leur carte bancaire en tant que justificatif d’identité.

Les victimes sont identifiées comme des prospects pour les hackers

«  Les opérateurs de l’arnaque ont été malins. Puisque les personnes sont habituées à ce que les enveloppes d’aides soient plutôt transférées par RIB, ils expliquent dans leur scénario que le RIB sera demandé aux victimes si elles sont éligibles. Mais bien sûr, jamais ils ne le demanderont et ils exploiteront les données de la carte bancaire  », élabore Loïc Guézo, directeur stratégie de Proofpoint en France.

Le formulaire destiné à voler les données bancaires requiert également d’entrer plusieurs données personnelles : un moyen pour les pirates de s’assurer de pouvoir exploiter les données bancaires. Mais ce n’est pas tout : ces données peuvent également se monnayer sur les marchés noirs. « Quand ils savent qu’une personne a donné ces informations dans un premier phishing, ils l’identifient comme une personne avec un faible niveau de maturité quant aux risques cyber. La personne devient alors un prospect intéressant, dont les données peuvent être revendues pour qu’elle soit la cible d’une autre campagne  », constate le dirigeant.

Différents emails vers une même page frauduleuse

Il est probable que cette page frauduleuse ait été alimentée par différents emails de phishing. En changeant de format et de contenu régulièrement, les arnaques peuvent passer sous les radars basiques de détection, qui se déclenchent après avoir repéré un certain nombre d’emails identiques. De même, si certains emails d’hameçonnage ont utilisé un lien direct vers le site frauduleux, d’autres ont mis en place un système de redirections à partir d’autres adresses, afin que les protections automatiques n’identifient pas le lien exact.

Pic d’arnaques à l’aide financière en mars

Les cybercriminels adaptent en permanence leurs scénarios aux sujets les plus discutés du moment, et l’ampleur prise par Covid-19 les a menés à insister plus que d’habitude sur le sujet. Depuis le début de l’année, Proofpoint a identifié pas moins de 300 campagnes d’hameçonnage liées au coronavirus, dont la moitié jouait sur des scénarios d’aide financière. « L’effet d’opportunité se déclenche avec les annonces des mesures de soutiens par le gouvernement », remarque Loïc Guézo.

Les arnaques liées à Covid-19 ont connu un pic en mars, puis ont peu à peu disparu après les campagnes de communication officielles. // Source : Proofpoint

Début mars, ces scénarios atteignent un pic, et près de 80 nouvelles campagnes sont déployées en même temps, un peu partout dans le monde. Mais en avril, le sujet de l’aide financière s’essouffle. « Probablement une saturation des modèles de phishing liés au Covid-19 et une évolution vers d’autres thèmes », suggère Proofpoint

Si cette première vague d’arnaques financières semble passée, elles pourraient réapparaître en fonction de l’évolution de la pandémie, à chaque annonce gouvernementale.

Crédit photo de la une : Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux