Tout commence par un échange entre «amis». Inspirée des techniques de phishing, une nouvelle arnaque se répand sur Instagram. Des cybercriminels ont ainsi monté une escroquerie basée sur l'activation d'un code d'authentification, en passant par la messagerie du réseau social.
Le scénario bien établi consiste pour un pirate à usurper l'identité d'un utilisateur d'Instagram en lui volant ses identifiants (vendus souvent sur le Dark Web pour quelques euros). En utilisant ce compte il peut alors envoyer des messages aux amis qui lui sont liés. Et c'est là que l'arnaque débute. Car l'usurpateur va envoyer des messages d'hameçonnage en demandant de l'aide aux «amis» de la liste. L'histoire exposée par le cyberattaquant demande à la personne de l'aider à débloquer son téléphone mobile en lui transmettant un code d'activation que la victime doit recevoir à sa place.
L'arnaqueur commence souvent son récit en demandant de lui donner un coup de main par le biais d'un petit message anodin : «Hello, tu peux m'aider s'il te plaît ?». Si la victime potentielle se porte volontaire, il va alors lui exposer que son propre smartphone et qu'il a besoin d'elle pour le débloquer à distance en recevant ses codes d'activation à sa place. L'escroc explique alors qu'il devait recevoir des codes envoyés par son opérateur téléphonique mais que son téléphone mobile étant bloqué, il doit les recevoir par le biais d'une personne de confiance. Il demande alors à la victime son numéro de téléphone et son opérateur.
UN simple transfert d'argent
Comme le relate le site Numerama, qui dévoile cette affaire, l'escroquerie va alors entrer dans une seconde phase. Puisque la victime va recevoir par SMS un code d'authentification qu'elle doit faire suivre à son «ami». Il s'agit en réalité pour l'arnaqueur d'utiliser la plate-forme de paiement Boku, qui permet de faire des versements à un tiers par SMS en s'appuyant sur une opération surfacturée. Par exemple, il est possible de choisir d'y virer 25 euros à quelqu'un sur Boku (qui est une plate-forme légale de transfert d'argent). A des fins de vérification et une double authentification, Boku va vous envoyer un SMS de confirmation, surtaxé à hauteur du montant souhaité, ici 25 euros. La somme sera alors versée par votre opérateur à son destinataire et sera débitée sur votre prochaine facture téléphonique. Dans le cas de l'arnaque, le pirate explique que cette opération payante ne sera en réalité pas débitée et qu'il s'agit juste d'un SMS normal. En réalité, la victime sera bel et bien débitée et l'argent sera transféré vers le compte de l'escroc.
Comme pour tous les sites, messageries, emails et réseaux sociaux restez vigilants lorsqu'une personne ou un organisme vous demande des informations personnelles ou d'effectuer un paiement. Ne répondez jamais. Dans le cas d'un ami, si vous avez un doute sur la personne qui vous parle, n'hésitez pas à changer de canal de communication (choisir une autre messagerie ou un réseau social), voire à appeler directement la personne en question afin de vérifier s'il s'agit bien d'elle.