Nous avons déjà décortiqué certaines formes d'arnaques sous l'angle de la sécurité IT dans de précédents articles de ce blog.
En voici un nouvel exemple, que nous allons cette fois analyser à partir des échanges de mails.
Notre but est d'attirer l'attention des internautes sur les indices qui, dans un e-mail, permettent de détecter un correspondant ou une transaction peu recommandables.
Schéma de l'arnaque
Comme souvent, l'arnaque en question prend sa source sur un site de petites annonces en ligne – d'ailleurs fort réputé en Suisse. Rappelons que la notoriété positive d'un site n'empêche pas les arnaqueurs de s'y manifester sous des identités constamment renouvelées.
Un canapé-lit ancien est proposé à la vente. Quelques heures avant la fin de la période de vente (moment stratégique), une « acheteuse » qui s'identifie sous le nom de Christa Schubiger se manifeste, dans un allemand approximatif (cliquez sur les images de l'article pour les agrandir).
Le contact est établi et des photos lui sont envoyées. Cette fois, Christa répond en français, mais c'est toujours aussi approximatif.
Approche classique : Christa est intéressée, mais elle ne vit pas en Suisse. L'organisation des modalités de paiement et du transport du meuble vers l'étranger sont des facteurs de complication que les arnaqueurs exploitent souvent.
A noter que jusqu'ici, malgré son français bizarre, Christa ne transmet pas de lien frauduleux. Elle communique au vendeur un lien vers le site internet légitime de PayPal pour qu'il y ouvre un compte. On peut vérifier la légitimité du lien en passant simplement la souris dessus (sans cliquer).
Mais, et c'est plus préoccupant: Christa demande non seulement le nom PayPal du vendeur, mais également l'adresse e-mail qui est associée à son compte. Le vendeur, qui n'a pas d'expérience préalable de PayPal, donne les informations demandées.
Peu après, le vendeur reçoit un premier message, prétendument de PayPal, lui annonçant que Christa lui a versé le montant dû. Toutefois, cette bonne nouvelle devrait l'alerter pour au moins quatre raisons :
- Le mail ne vient pas directement de PayPal, il est retransmis par Christa. Néanmoins, il s'adresse nommément au vendeur. Ah bon ?
- L'adresse de l'expéditeur « PayPal » n'utilise pas le nom de domaine de PayPal et apparaît comme paypal@transferintls.com. Elle n'est donc pas légitime. A noter qu'il n'est pas toujours facile de reconnaître les adresses légitimes de PayPal, puisque l'entreprise utilise des extensions différentes dans chaque pays. Il est d'ailleurs possible de simuler une adresse légitime. Mais dans le cas qui nous occupe, notre escroc n'a pas fait beaucoup d'efforts.
- On voit apparaître un élément nouveau : l'acheteur doit payer de sa poche un transporteur avant que la transaction prenne effet.
- Ces frais de transport, non prévus initialement, sont très importants et s'inscrivent en déduction du montant total de la transaction.
Le cadre général étant posé, les escrocs mettent maintenant la pression. Quelques heures plus tard, le vendeur reçoit le mail suivant. A nouveau, cinq éléments devraient faire passer sa méfiance à un niveau maximal :
- Le mail prétendument émis par PayPal est à nouveau retransmis par Christa.
- Il utilise la même pseudo-adresse d'expéditeur paypal@transferintls.com
- La typographie est étrange. On voit que la ligne concernant Christa Schubiger a été rajoutée. De plus, le vendeur est informé qu'il doit se charger de payer directement le transporteur, via une entité de paiement externe à Paypal, s'il veut que le montant versé par Christa lui soit crédité.
- Des coordonnées bancaires externes à PayPal sont données
- On voit que certains ajouts ont été faits dans ce paragraphe (polices de caractères différentes).
Et le tout est dans un anglais approximatif.
A ce stade, la pression sur le vendeur s'accentue encore et le rythme des communications s'accélère. Le vendeur est informé par « PayPal », toujours via Christa, que la transaction n'aura pas lieu avant qu'il ait versé CHF 850 au transporteur.
Par contre, l'adresse de paiement a maintenant changé.
Dans la foulée, le vendeur reçoit un autre message. Cette fois, Christa se substitue à PayPal pour envoyer des instructions de paiement, ce qui devrait surprendre:
Le vendeur s'étonne de ces exigences non anticipées et du changement de de l'adresse de paiement. Il demande des explications. Bien sûr, il ne reçoit pas de réponse.
Deux jours plus tard, l'escroc s'impatiente. Il remet donc la pression et envoie un nouveau message, cette fois directement de la part de « PayPal ». On constate que l'adresse pour le versement a encore une fois changé.
Quelques heures plus tard, le vendeur n'ayant toujours pas procédé au versement, l'escroc en arrive aux menaces explicites : le FBI aurait été contacté (!), la vie du vendeur serait maintenant en danger, et il doit faire le paiement demandé dans les 24 heures, sinon...
Bref, c'est très créatif.
Pour conclure...
Tout s'est finalement bien terminé. Le vendeur avait compris à temps qu'il s'agissait d'une arnaque et avait abandonné la transaction. Mais il aurait pu s'éviter beaucoup de soucis inutiles s'il avait su reconnaître les indices essentiels indiqués plus haut, auquel il faut prêter attention lors de toute transaction en ligne et lors d'échanges mail en général :
- Toujours vérifier la légitimité et la syntaxe des adresses mail des expéditeurs
- Ne jamais cliquer sur un lien fourni sans vérifier au préalable qu'il est bien ce qu'il semble être.
- Se méfier des pièces jointes.
- Ne pas fournir de renseignements personnels à des tiers, même prétendument de confiance (coordonnées complètes PayPal, login ou mot de passe, par exemple)
- Prêter attention à l'orthographe et à la syntaxe des correspondants. Associées à d'autres éléments, elles peuvent être des indices révélateurs
- Ne rien faire dans la précipitation, ne pas céder à la pression.
- Dès qu'il est question d'argent, redoubler de méfiance et d'attention.
Même s'il est difficile d'indiquer des points de vérification qui restent valables dans tous les cas, un faisceau d'indices convergeants devrait éveiller la plus grande méfiance. Restez à l'affut!
Mais encore...
- Pour compléter le tableau: allez jeter un coup d'oeil à ce diaporama. Il résume en images certains des risques qui peuvent être évités avec un peu de vigilance.
- Et pourquoi pas quelques travaux pratiques pour terminer ? Testez donc notre quiz et découvrez si vous savez reconnaître les e-mails malveillants.
Autres lectures instructives: