Une nouvelle vague de tentatives d’hameçonnage, ou phishing, s’intensifie en Suisse, selon l’Office fédéral de la cybersécurité (OFCS). Les cybercriminels perfectionnent leurs méthodes pour abuser de la confiance des internautes, comme le montre une récente attaque particulièrement élaborée signalée sur le site officiel de l’OFCS.
Contrairement aux attaques de masse classiques, cette campagne utilise une approche en deux étapes pour gagner la confiance des victimes. Elle débute par l’envoi d’un courrier électronique usurpant l’identité d’une banque, exigeant de l’utilisateur qu’il actualise ses données personnelles sous couvert de conformité. Vérifiez toujours soigneusement l’adresse exacte utilisée.
Nouvelle génération d’escroquerie numérique
La subtilité, cette fois, réside dans la nature des informations réclamées: le premier formulaire ne requiert ni mot de passe, ni numéro de carte bancaire. Nom, numéro de contrat et téléphone semblent inoffensifs, ce qui abaisse la vigilance de l’utilisateur.
Une fois ces données collectées, la victime est redirigée vers la page d’accueil authentique de la banque. Cette manœuvre habile donne l’impression d’un simple contrôle de routine, alors qu’il ne s’agit en réalité que de la première étape d’un piège soigneusement tendu, selon un communiqué de l’OFCS.
Seconde vague: l’appel téléphonique
Quelques jours plus tard, la seconde phase s’enclenche: la victime reçoit un appel d’un faux conseiller bancaire. L’escroc connaît non seulement le nom, mais aussi des détails provenant du premier formulaire, apportant crédibilité et confiance à la démarche.
Le criminel prétexte alors une opération frauduleuse, souvent un virement suspect à l’étranger, qu’il propose de bloquer à distance. Il demande à la victime de scanner un code QR avec son application bancaire, donnant ainsi aux pirates l’accès à son compte, tout en contournant le mécanisme de vérification en deux étapes.
Vigilance et bons réflexes
Cette méthode sophistiquée prouve que les pirates savent exploiter la psychologie et la routine numérique de chacun. Les attaques ciblées, bien que moins nombreuses, se montrent redoutablement efficaces, car elles s’inscrivent dans un contexte familier pour la victime.
La prudence reste donc de mise, même lorsque les données demandées semblent anodines. Il est essentiel de ne jamais communiquer d’informations personnelles ou sensibles par téléphone ou courriel, et de ne scanner aucun code QR sans s’être assuré de l’authenticité du site bancaire.
XS
PS
Les pirates ont réussi a envoyer cette vague de phishing le week-end ou de nombreux clients de Credit Suisse étaient migrés vers UBS.