Confinement : à situation exceptionnelle, arnaque exceptionnelle !
Les arnaqueurs adorent les crises ! Ce sont des moments qui recèlent d’opportunités extraordinaires de tromper leurs cibles comme jamais. Comment s’y prennent-ils ? Quelle forme cela prend-il dans le cas du coronavirus ? C’est le thème du jour !
Dans « l’art de la supercherie », le célèbre hacker Kevin Mitnick propose un petit cas d’étude de “hacking social” réalisé au moment d’une tempête de neige. On peut aisément s’en inspirer pour toute situation de crise… Nous l’avons donc librement adapté à la période en cours.
Nous allons donc vous raconter l’histoire de Daniel : Un Hacker fictif passionné par l’oeuvre de Kévin…
Daniel contre la World Company
Daniel souhaitait depuis quelques temps pénétrer le système d’une grande société que nous appellerons la « World Company ». En bon expert de « l’ingénierie sociale », il avait rassemblé suffisamment d’informations pour se faire passer pour un véritable employé de la World Company : un nom, un poste de travail, un identifiant et le numéro de téléphone correspondant. Il recherchait le meilleur point d’entrée pour porter son attaque, quand est arrivée la crise du coronavirus.
Un vendredi après-midi, alors que le confinement est décrété, Daniel appelle une filiale de la World Company qu’il a ciblée et demande le service informatique.
Richard Kovalski en ligne, que puis-je pour vous ?
- Bonjour Richard ! Bertrand Chaillot, à l’appareil. Je n’arrive plus à accéder à mes emails. Il y a un problème chez vous ?
- Pas à ma connaissance. Quel message d’erreur avez-vous ?
- Ca me dit que mon compte est bloqué.
- Vous n’auriez pas fait trop d’erreurs de saisie de mot de passe par hasard ?
- C’est possible : ma fille a fait tomber mon mobile dans l’eau… elle enchaîne les gaffes depuis le confinement, ça la rend dingue d’être enfermée… Bref, j’ai récupéré un autre téléphone et ai tout reparamétré dessus. J’ai peut être fait une bêtise ?
- On dirait ! Le téléphone, c’est toujours le même numéro ?
- Euh non, la SIM est morte… pourquoi ?
- Parce que pour réinitialiser l’accès et le mot de passe, ça passe par là normalement.
- Comment on peut faire alors ?
- Dans la situation actuelle, je vois pas trop, normalement, ça se règle directement au bureau ce genre de problème. Ca peut attendre lundi ?
- Lundi ? Ecoutez, je travaille au département organisation des processus, et j’ai des dossiers chauds à traiter ce week-end pour faire face aux problèmes liés au confinement. Franchement Richard, il faut faire quelque chose, je dois absolument récupérer l’accès à ma messagerie !
- Qu’est-ce que c’est votre identifiant ?
- bertrand.chaillot
- Et votre ancien numéro de mobile, c’était quoi ?
Evidemment, Daniel avait aussi cette information, savait qu’on lui poserait la question et donna la réponse sans hésiter.
OK, donnez moi votre nouveau numéro de mobile
Quelques minutes plus tard, Daniel recevait sur son téléphone un lien lui permettant de réinitialiser le mot de passe de la messagerie de Bertrand Chaillot. Il se dépêcha de télécharger tout l’historique de ses messages avant que le vrai Bertrand n’appelle à son tour le support technique en détectant un problème : il y trouverait justement des informations précieuses pour accéder au réseau privé virtuel de la World Company…
Pourquoi ça fonctionne ?
Dans cet exemple, Richard fait une entorse aux règles qui ferait hurler n’importe quel spécialiste de la sécurité informatique ! Mais dans des circonstances exceptionnelles, il peut paraître logique de ne pas appliquer les procédures habituelles. Surtout quand vous êtes fatigué, que vous avez un peu de pression de la part de votre interlocuteur, qu’il est crédible et que vous avez encore beaucoup d’autres gens à dépanner. Il s’agit en fait de biais qu’utilisent régulièrement les escrocs.
Tout le métier des arnaqueurs consiste à tirer partie des failles humaines et organisationnelles : en situation de crise, elles sont tout simplement plus nombreuses. Nous en avons donné quelques exemples dans le cas du Covid-19 dans notre article précédent, mais ce n’est malheureusement qu’un début…
Recherche liée
Je bricole des choses sur le web depuis la création de ma première société en 2004. Je fais partie de l’aventure Signal Arnaques (mais aussi Scamdoc et Scampredictor) depuis ses débuts, en particulier pour m’occuper des aspects techniques.