Un SMS prétendument envoyé par EDF circulait encore le 25 août. Prétextant un remboursement, ce phishing vise à dérober des données personnelles, des informations de carte bancaires et... des photocopies de pièce d'identité.

Ce n’est ni le phishing le plus complexe ni le mieux fait. Mais cet hameçonnage par SMS aux couleurs d’EDF, qui circulait encore le 25 août, s’avère particulièrement dangereux pour les personnes qu’il parviendrait à toucher.

Non seulement les pirates espèrent extorquer les données personnelles et les informations de carte bancaire de leurs cibles, mais ils vont jusqu’à demander des photocopies de documents d’identité. De quoi alimenter en partie un vol d’identité, qui pourrait avoir des conséquences catastrophiques pour la victime. Si une copie de carte d’identité ne suffit pas à effectuer un vol d’identité, elle peut appuyer des démarches de demande de crédit au nom de la victime, par exemple. La victime se retrouverait alors endettée sans avoir reçu de prêt.

Le phishing, à la mise en page simple, circulait encore le 25 août. // Source : Capture d’écran Numerama

Pour parvenir à leurs fins, les malfaiteurs derrière cette campagne de phishing ne s’embarrassent pas d’un scénario complexe : chaque étape de leur arnaque est la plus directe possible. Le SMS initial se contente d’un « Remplissez le formulaire de demande de remboursement d’EDF : group-edf[.]com » envoyé depuis un numéro court, qui permet d’afficher « EDF » comme identité suggérée de l’expéditeur.

Une personne habituée à vérifier les signaux d’arnaques découvrira rapidement la supercherie : l’adresse de redirection ne correspond pas à l’adresse officielle de EDF, edf[.]fr. Pire, avec l’anglicisme « group » au lieu de « groupe », le phishing perd encore plus en réalisme. Mais dans la précipitation, avec la fatigue, certaines personnes pourraient mordre à l’hameçon.

Le faux EDF effectue un vol d’information progressif

C’est notre cas : nous avons cliqué malgré les signaux d’alerte. Un formulaire s’affiche immédiatement, sans plus d’explication, avec le logo d’EDF en tête de page. Trois lignes se succèdent, dans un style presque télégraphique. : « Formulaire de demande de remboursement EDF » ; « Vous allez recevoir un reçu de remboursement par SMS » ; « Merci de renseigner une carte de crédit valide ».

Tout en bas de la page, nous avons quelques précisions sur la prétendue situation : «  EDF vous rembourse suite à un double prélèvement effectué par erreur ».

La ficelle du faux remboursement est en ce moment très populaire chez les malfaiteurs, qui surfent sur la crise économique liée à Covid-19. Après tout, qui refuserait une rentrée d’argent inattendue ?

Ne donnez jamais vos coordonnées bancaires pour un remboursement

Mais il faut faire attention quand la situation est trop belle pour être vraie, comme ici. Si vous avez un doute, vérifiez sur votre compte que vous avez bien été prélevé deux fois. Dans tous les cas, une entreprise ne doit jamais vous demander vos informations de carte bancaire pour un remboursement. D’autant plus que dans ce cas, EDF doit déjà disposer des informations suffisantes pour vous envoyer un virement si un remboursement quelconque est nécessaire.

Le premier formulaire affiche  « les coordonnées bancaires », mais demande des données personnelles : nom, adresse, ville, code postal, date de naissance. Si la victime clique sur « continuer », un nouveau formulaire s’affiche « merci de renseigner une carte bancaire valide ». Comme d’habitude, les malfaiteurs ont pris le soin de mettre les logos Mastercard, carte bleue ou encore Visa pour rassurer leurs cibles sur la légitimité de leur démarche.

Cette demande d’information en deux étapes permet aux pirates de sécuriser le vol de données personnelles, car les victimes hésiteront moins à communiquer ces informations par rapport à leurs informations de carte bancaire.

Une étape supplémentaire par rapport aux phishings classiques

Une fois la carte bancaire validée, les malfaiteurs vont encore plus loin. Ils demandent une « copie claire de votre carte bancaire (recto/verso) », et proposent de télécharger les photos demandées sur leur site. Ensuite, ils exigent une photo de votre pièce d’identité comme prétendue « pièce justificative » pour le remboursement.

Les malfaiteurs espèrent récupérer les documents d’identité de leurs victimes. // Source : Capture d’écran Numerama.

Une fois ces deux documents enregistrés, ils se contentent d’une page de conclusion sobre : « votre demande a bien été prise en compte. Le remboursement sera traitée dans les plus brefs délais » (sic). Si les pirates ont adopté un style de message très court pour éviter les fautes de grammaire, c’est loupé.

Le vol de carte d’identité peut s’avérer très grave, mais heureusement, le nombre d’étapes à valider et le peu d’efforts accordés à la mise en page de l’arnaque pourrait avoir découragé la majorité des potentielles victimes.

Que faire si j’ai donné mes informations ?

  • Si vous avez donné vos informations de carte bancaire, faites opposition au plus vite. Privilégiez un appel au service téléphonique dédiée de votre banque, dont vous trouverez le numéro sur Google facilement. La très grande majorité des banques propose ce service, disponible 7 jours sur 7 et 24 heures sur 24.
  • Si vous avez donné votre carte d’identité, vous pouvez, par précaution, le déclarer dans un commissariat. Cela vous permettra d’avoir une trace écrite au cas où un usage malveillant du document serait effectué. Dans tous les cas, vous pouvez aller en mairie pour en refaire une, même si vous ne passez pas par la case commissariat.
  • Si vous avez donné vos informations personnelles, elles vont probablement être revendues à d’autres personnes qui voudront faire du phishing. Redoublez de vigilance face aux emails, messages et appels suspicieux que vous recevriez, car ils peuvent être alimentés par les informations que vous avez communiquées.
  • Envoyez le SMS de phishing à EDF au 33700 pour qu’il puisse lutter plus efficacement contre cette campagne.

Crédit photo de la une : Wikimedia

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux