Attention à cette campagne d'hameçonnage qui vise à aspirer vos données personnelles et vos informations de carte bleue.

Vous avez reçu un SMS suspicieux prétendument envoyé par l’assurance maladie, au sujet d’un remboursement de 450 ou 503,99 euros ? Si vous êtes sur cet article, vous vous en doutez, il s’agit bien d’une arnaque.  Elle ressurgit à intervalle régulière depuis plusieurs années, et existe en différentes déclinaisons par email, appel téléphonique ou SMS.

Cette manœuvre de phishing vise à dérober votre prénom, nom, adresse, numéro de téléphone ainsi que tous les détails de votre carte bancaire : les 17 chiffres, la date d’expiration et le précieux numéro de vérification (CVV) à 3 chiffres. Les cybercriminels peuvent ensuite exploiter ces données à leurs propres fins ou prendre moins de risques en les revendant à d’autres hackers sur les marchés noirs. Il peuvent même faire l’un, puis l’autre !

Les hackers vont envoyer leur SMS à un maximum de personnes, tel un filet de pêche, et espérer remonter le plus d’informations possible. // Source : Louise Audry pour Numerama

Sur son site officiel, l’Assurance maladie met en garde contre ces arnaques régulières : « L’Assurance Maladie peut vous contacter par SMS. Les SMS de l’Assurance Maladie peuvent contenir des liens vers des pages d’information du site ameli.fr ou vers le compte ameli, auquel vous pouvez accéder en utilisant vos identifiants de connexion. Mais l’Assurance Maladie ne demande jamais la communication d’éléments personnels (informations médicales, numéro de sécurité sociale ou coordonnées bancaires) par SMS. ». L’organisme est une cible de choix pour les hackers, car tous les Français y ont accès, et pourraient être concernés par la tentative d’arnaque.

Un hameçon efficace

La version de l’arnaque que Cyberguerre a choisi de disséquer peut être difficile à déceler pour les personnes peu confrontées à ce genre de messages. Voici le SMS en question [sic] :

Ce SMS de phishing existe en différentes versions, et circule depuis plusieurs années. // Source : Twitter

« Compte Ameli : en raison du contexte actuel et après notre dernière vérification de votre dossier d’assurance maladie, nous avons déterminé que vous recevrez un remboursement de 450€. Veuillez vous enregistrez via le lien ci-dessous : https://assuranceameli.org/XXXXXXX ».

Les phrases sont correctement construites, et même si le message contient une erreur d’orthographe, elle peut passer inaperçue ou passer pour une bête faute de frappe. Il joue sur une accroche d’actualité sous-entendue, la pandémie Covid-19, pour justifier le caractère inhabituel du message.

Le SMS renvoie vers une adresse web (URL) clairement affichée (assuranceameli.org), alors que d’habitude les arnaqueurs utilisent des services de réduction des URLs (comme bit.ly) pour dissimuler leur nom frauduleux. C’est un pari : peut-être que certaines cibles sauront que l’adresse du site officiel de l’Assurance maladie est « ameli.fr ». Mais d’autres se laisseront berner par ces deux mots familiers « assurance » et « ameli » mis bout à bout.

Le site frauduleux n’alerte pas les outils de détection des navigateurs

En plus, le nom de domaine « .org », est historiquement plutôt utilisé par des organisations et institutions à but non lucratif, ce qui peut lui donner une connotation positive dans l’esprit des victimes. Avec son adresse crédible, ce phishing est déjà plus dangereux que la moyenne.

Pour finir, les pirates ont pris le soin de déposer un certificat (gratuit) pour leur site, afin de pouvoir afficher le fameux HTTPS. Ils passent ainsi outre les outils de détections automatiques des navigateurs web (Chrome, Safari, Edge…) . Sans ce protocole, il serait écrit que le site est « non sécurisé », ce qui repousserait certaines victimes éventuelles.

Droit au but : les pirates veulent vos données

Une fois que nous avons cliqué sur le lien, nous débarquons sur une page — un formulaire —  rudimentaire, qui demande d’emblée toutes les informations recherchées par les pirates. D’autres hackers s’embarquent dans des dédales de redirections compliqués, alors que moins la victime passera de temps sur la page, plus ce sera en leur faveur. Ils réduiront les risques qu’elle se rende compte de la supercherie, ou qu’elle se lasse et n’aille pas au bout de la procédure.

Les pirates n’ont pas reproduit la charte graphique du site officiel, mais ils affichent le logo de l’Assurance maladie. Ils prétendent également qu’il est possible de se connecter avec France Connect (le dispositif d’identification vérifiée sur les sites de l’administration)… sauf que le lien ne fait que rafraîchir la page. D’ailleurs, aucun lien de la page ne fonctionne : « Informations légales », « recommandations de sécurité » ou encore « aide ». C’est le cas de la majorité des pages d’hameçonnage, et un bon moyen de révéler la supercherie.

L’arnaque reviendra régulièrement

La page va droit au but. « La procédure de remboursement en ligne est instantané » [sic] indique-t-elle, avant d’immédiatement proposer le formulaire qui demande données personnelles et bancaires.

Nous avons rempli le formulaire. Après deux écrans de chargement, le site nous demande d’envoyer un code de vérification envoyé sur notre téléphone… sauf qu’il ne le fait pas. Ce genre de diversion peut permettre aux hackers de gagner du temps, pendant que leurs victimes essaient de résoudre le problème. Ensuite, puisqu’il arrive dans une impasse, le visiteur pourrait se dire que le paiement n’a pas abouti, et laisser tomber la procédure, laissant ses données dans les mains des hackers.

Le nom de domaine du site d’arnaque a été déposé le 28 avril 2020, il est donc possible que les pirates se servent de cette page pour leur phishing depuis quelques semaines. Quant au code de la page, il pourrait être encore plus ancien : le menu déroulant pour la date d’expiration de la carte bancaire commence en janvier 2019… Si ce site sera certainement fermé dans un futur proche à la suite des signalements, nul doute que des copies exactes ou légèrement différentes surgiront. Il faudra alors appliquer les mêmes ficelles pour détecter la supercherie.

Crédit photo de la une : Claire Braikeh pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux