L’identité des impôts est régulièrement usurpée par les cybercriminels. Cette fois, ils profitent de la crise et de la mise en place de dispositifs d’aides pour enfoncer encore plus leurs victimes.

Tout commence par un SMS, qui usurpe l’identité de la Direction générale des Finances publiques. Sur l’exemple repéré par Numerama, il s’affichera sur votre smartphone comme provenant de « ImpotFrance ».

« Vous avez un nouveau message », se contente d’annoncer le SMS, avant de donner un faux numéro de référence de dossier, et d’afficher un lien vers un site web.

Nous avons cliqué sur le lien, et il s’agit bien d’une tentative d’hameçonnage. Elle a pour objectif de dérober vos informations : nom, prénom, date de naissance, adresse, numéro de téléphone, adresse email et numéros de carte bancaire. Les malfaiteurs derrière cette opération de phishing pourront ensuite revendre ce cocktail de données explosif sur les marchés noirs, ou les exploiter pour lancer d’autres attaques. Ils ont d’ailleurs probablement récupéré votre 06 ou votre 07 grâce à la fuite de données d’une autre entreprise.

ebay-logo.jpg

Vous avez reçu ce message ? Ne cliquez pas. // Source : Twitter/Zbeub

À l’heure où nous publions cet article, le site malveillant auquel nous avons eu accès est toujours en ligne, mais il est déjà identifié comme trompeur par les principaux navigateurs web : un grand écran rouge cache la page, et déconseille de continuer vers le site. Mais attention, les malfaiteurs peuvent facilement ouvrir d’autres sites qui ne seront pas immédiatement identifiés comme malveillants.

Ça ressemble aux impôts, mais ce n’est pas les impôts

Pour ne pas trop attirer l’attention sur leur supercherie, les cybercriminels utilisent dans leur SMS le service de réduction d’URL Bitly. Concrètement, cela leur permet de transformer leur adresse « trèsbizarre.com » en « bit.ly/XXXXX ». Si la première adresse éveille des soupçons chez une majorité des personnes qui reçoivent le SMS, la seconde, pourtant plus opaque, inquiètera moins. Les utilisateurs sont habitués à cliquer sur les liens Bitly sans trop réfléchir, et sans considérer que le lien peut être malveillant.

Image d'erreur

Une bourse de déconfinement ! De l’argent gratuit ! Je clique ! // Source : Capture d’écran Numerama

Une fois le lien cliqué, nous arrivons sur une page mal optimisée, qui affiche en bandeau de haut de page le logo officiel de la République française et celui de impots.gouv.fr, le site officiel du service des impôts.

La supercherie est relativement facile à lever, puisqu’il suffit de regarder l’adresse de la page. Nous ne sommes pas sur impots.gouv.fr, mais sur gouvernement[.]tax, une adresse malveillante. En affichant « gouvernement », l’URL des malfaiteurs pourrait être suffisamment convaincante pour qui ne connaîtrait pas l’URL officielle. C’est l’anglicisme « tax », signe que ce phishing est sûrement décliné en plusieurs langues, qui brûle la couverture.

Qui veut des aides financières ?

Peut-être que toutes les cibles n’ont pas eu notre réflexe de regarder l’adresse de la page. Il faut dire qu’une information, écrit en gras, attire l’œil : « Bourse de déconfinement ». Qui n’aimerait pas recevoir une aide financière, surtout en période de crise généralisée ?

Les cybercriminels n’hésitent pas à s’engouffrer dans cet espoir, avec un message dépourvu de fautes de grammaire  : « Suite à la situation actuelle, nous avons décidé de mettre en place une bourse aidant au bon déroulement du déconfinement. Ainsi, nous pourrons vous allouer jusqu’à 128,99 euros en fonction de votre éligibilité. Pour bénéficier de cette aide, veuillez remplir notre formulaire en ligne en cliquant sur le bouton « Formulaire », ci-dessous ». Ils précisent juste en dessous que la demande doit être effectuée avant le 16 juillet.

Pour renforcer la crédibilité du message, ils font un appel au respect des gestes barrières et usurpent la signature de la direction générale des finances.

Un vol en deux étapes

Nous avons cliqué sur le bouton « formulaire », puisque le faux service des impôts le veut vraiment — tous les liens de la page renvoient vers cette page.

Un titre s’affiche : « Demande de bourse COVID-19 (FRAP1920778446) ». Puis le message nous invite à renseigner correctement (sinon « notre dossier ne pourra pas être traité » !!) : prénom, nom, date de naissance, adresse, code postal, ville, numéro de téléphone, confirmation du numéro de téléphone et adresse électronique.

thepiratebay.gif

S’il y a un nom de dossier, c’est forcément sérieux, non ? // Source : Capture d’écran Numerama

 

Ensuite nous pouvons cliquer sur « étape suivante », pour finaliser notre dossier en rentrant nos informations bancaires : titulaire de la carte, numéro de carte, date d’expiration et CVV (le précieux code à trois chiffres au dos de votre carte). Aucun service du gouvernement, que ce soit les impôts ou la sécurité sociale, ne vous demandera jamais ces informations, même dans le cadre d’un remboursement.

Les cybercriminels ont séparé le formulaire en deux pour augmenter leurs chances de succès : la demande d’informations bancaires éveille plus de soupçons que la demande de données personnelles, dont la valeur n’est pas toujours estimée. Les malfaiteurs se garantissent donc le vol des données personnelles avant de tenter le vol des informations bancaires.

Le vrai site des impôts demande de remplir de vrais formulaires d’aide

Une fois nos (fausses) données bancaires validées, le site affiche « Dossier en cours de validation… Votre dossier est en cours de validation, nous vous ferons part de notre réponse dans une durée de 24 à 48h ». Mais nul doute que nous n’entendrons plus jamais parler de cette « bourse ».

L’arnaque est bien ficelée : sur sa page d’accueil, le vrai site des impôts met en avant son « fonds de solidarité pour les entreprises, indépendants et entrepreneurs. » Dans le cadre de ces mesures exceptionnelles, il demande, effectivement, de remplir un formulaire de demande d’aide. Mais la procédure se fait via l’espace particulier de chaque professionnel dans un cadre sécurisé. Pour vous assurer de ne pas tomber dans des pièges, privilégiez toujours le passage pas un moteur de recherche ou la saisie directe de impots.gouv.fr.

transmission.png

Si vous avez vu cette image, dépêchez-vous de faire opposition sur votre carte bancaire. // Source : Capture d’écran Numerama

Que faire si j’ai rempli le faux formulaire des impôts ?

  • Faites opposition sur votre carte bancaire. Les banques ont généralement un service accessible 24h/24 et 7j/7 pour gérer ces urgences. N’attendez pas un retour de vos interlocuteurs habituels, chaque minute écoulée peut vous coûter plusieurs centaines d’euros.
  • Vous êtes identifié comme vulnérable, redoublez de vigilance. Vos données vont sûrement être revendues et exploitées par d’autres malfaiteurs qui tenteront de vous extorquer de l’argent. Redoublez donc de vigilance quand vous recevez des emails ou des SMS : vérifiez les URLs, vérifiez l’identité des expéditeurs, et si le message vous paraît louche, ne cliquez pas. Vous avez mordu à une arnaque une fois, les malfaiteurs sont persuadés que vous mordrez une seconde fois, prouvez-leur le contraire.
  • Signalez le site malveillant sur Pharos, la plateforme officielle du ministère de l’Intérieur. Votre aide permettra de neutraliser plus rapidement les opérations de phishing, et d’éviter qu’il fasse plus de victimes.
une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !