Encore un anglicisme dans le monde de la cybersécurité. Il convient pourtant de bien connaître le mot Spoofing, tant cette escroquerie qui vise à voler votre argent se répand ces derniers mois.

Sachez tout d'abord que ce mot est synonyme d'usurpation d'identité. Et le mode opératoire des escrocs est bien rôdé. Plusieurs nouvelles affaires sont remontées auprès des autorités françaises, où les victimes décrivent une arnaque qu'elles ont eu du mal à identifier de prime abord.

Dans les faits, le spoofing implique qu'une personne récupère des informations sur votre vie privée mais aussi découvre un moyen d'atteindre votre «portefeuille» en ligne pour se servir, avec des virements qui peuvent parfois atteindre plusieurs milliers d'euros.

Un scénario très crédible

Récemment, des plaintes relevées notamment par nos confrères du quotidien Les Dernières Nouvelles d'Alsace ont démontré, s'il fallait encore le souligner, l'imagination très fertile dont font preuve les cybercriminels. Dans une logique de spoofing, ces derniers ont mis au point une technique permettant de se faire passer pour votre banque qui entend récupérer des identifiants bancaires pour une opération de maintenance ou un prétexte d'enquête.

S'il ne faut jamais fournir ces informations par téléphone, les escrocs se débrouillaient pour «endormir» leurs victimes grâce à un scénario très crédible. «À l’autre bout du fil, un homme se présente comme un inspecteur du service de répression des fraudes de votre établissement bancaire. Il vous dit que vous êtes victime d’une attaque, vous donne votre adresse personnelle pour vous mettre en confiance. Bien souvent, l’escroc dispose déjà d’informations sur sa cible», détaille la cheffe du groupe des enquêtes administratives et fraudes de la sûreté départementale du Bas-Rhin aux DNA. Surtout, l'arnaqueur est capable d'appeler en affichant le numéro de votre banque et en envoyant un mail avec un en-tête et le logo de celle-ci.

Et si le spoofing explose, c'est principalement parce que le canal téléphonique est encore très vulnérable. «La réglementation DSP2 qui instaure notamment des normes de sécurité plus strictes pour les paiements en ligne ne sécurise par essence que le canal internet», explique à CNEWS Dominique Ango, directeur général de la région Europe sud de la société Pindrop, experte dans l’authentification, la détection des fraudes, et la sécurisation en temps réel des interactions vocales.

60% de la fraude passe par le téléphone

En réalité, «DSP2 crée de nouvelles opportunités pour les fraudeurs de cibler les centres d'appels car elle ne sécurise pas le canal téléphonique. Les organisations doivent ainsi renforcer leurs capacités d'authentification en temps réel et de lutte contre la fraude pour s'y préparer. De plus, les fraudeurs apprécient le canal téléphonique en raison du sentiment d'anonymat qu'il procure et il existe des applications de spoofing facilement accessibles qui permettent d’usurper l'identité de l'appelant. Avec ces applications, vous ne savez pas si c'est vraiment votre banque qui est à l'autre bout du fil, et l'agent qui traite l'appel ne peut plus supposer qu'il s'agit de vous, simplement parce que l'identification de l'appelant indique votre numéro de téléphone. La simplicité du processus et le manque de sécurité du canal téléphonique sont les deux principaux facteurs de l'augmentation récente de ce type d'escroqueries susceptibles de toucher tout type d'entreprises et de particuliers », détaille Dominique Ango.

Ce dernier rappelle d'ailleurs qu'à l'heure actuelle, 60% de toute la fraude passe forcément, à un moment donné, par le canal téléphonique.