« Phishing » : le moustique d’Internet

7 février 2019

Personne n’aime les moustiques. Ils nous empêchent de dormir, gâchent nos belles soirées d’été et nous collent tout un tas de boutons qui nous démangent pendant des jours. Prises électriques, bougies odorantes, huiles essentielles : on a beau tout essayer, on n’arrive jamais à s’en débarrasser définitivement.

Le « phishing », c’est exactement la même chose. Il n’a l’air de rien : minuscule, léger, inoffensif. Il peut nous causer quelques tracas, mais rien qui ne nous empêche de vivre. Mais en réalité, chaque jour, il suce les informations de milliers d’utilisateurs de services et d’applications en ligne. Et on ne parvient jamais à s’en débarrasser.

En bon français, « phishing » signifie « hameçonnage ». Cette technique, vieille comme Internet, vise à dérober nos accès à un compte (Amazon, Impôts) ou nos numéros de carte bancaire, pour in fine voler notre argent. Afin d’y parvenir, un pirate, tranquillement assis derrière son ordinateur, va tenter de nous fait mordre à son hameçon en nous faisant miroiter un bel appât, ou en nous stressant.

Tout part de notre boîte mail ✉️

On a tous déjà reçu cet e-mail « trop beau pour être vrai ». Ce message des Impôts qui nous annonce un remboursement surprise à quatre chiffres. Ou cet e-mail de notre opérateur téléphonique qui affirme qu’on vient de remporter le tout dernier iPhone. Certains de ces e-mails sentent l’arnaque à des kilomètres. D’autres sont très réalistes, et on pourrait tomber dans le panneau. Le point commun, c’est qu’à chaque fois, cet e-mail nous invite à faire une action rapidement : cliquer sur un lien, saisir nos identifiants de connexion ou notre numéro de carte bancaire.

Lydia n’échappe malheureusement pas aux moustiques. Certains pirates se font passer pour nous afin d’escroquer certains de nos utilisateurs. Voici deux exemples de ce à quoi ressemble des e-mails reçus par un de nos utilisateurs :

On vous annonce donc, par e-mail, que votre compte Lydia est bloqué ou encore que vous venez de recevoir une belle somme d’argent. Pour le débloquer rapidement, ou récupérer l’argent, on vous invite à cliquer sur un lien.

Vous pensez être en confiance avec cet e-mail ? Vous serez surpris de découvrir la suite.

Un utilisateur de Lydia averti serait sûrement surpris par certains éléments graphiques de l’e-mail (le logo est légèrement écrasé, le lien “Recevoir” n’est pas au format “bouton”, etc.), mais celui qui a un usage occasionnel de Lydia, ou qui est habituellement peu attentif à nos communications, pourrait croire que cet e-mail est bien envoyé par nos services.

Vous mordez à l’hameçon 🎣

Une fois que vous avez cliqué sur le lien, l’escroquerie continue : vous arrivez sur un site Internet qui ressemble comme deux gouttes d’eau à celui de Lydia. Sur ce site, on vous demande de générer une carte virtuelle Lydia, puis de saisir ses numéros, sa date d’expiration et son CVV, ou pire de saisir vos identifiants de connexion à votre compte Lydia (donc votre e-mail et votre mot de passe).

Voici une comparaison entre notre site Internet (à gauche) qui vous demande seulement votre numéro de téléphone pour vous inscrire à Lydia, et le site Internet d’un pirate (à droite) qui vous demande votre e-mail et votre mot de passe.

Lydia ne vous demandera jamais de saisir vos identifiants sur un site Internet ou en répondant à un e-mail. Vos identifiants de connexion sont strictement réservés à l’application mobile Lydia. Vous ne devez les utiliser nulle part ailleurs.

Lydia ne vous demandera jamais non plus vos numéros de carte pour créditer vos compte Lydia depuis un site Internet. En effet, les cartes Lydia sont des outils de paiement, en aucun cas des outils d’encaissement.

Ce qui se passe ensuite… 😯

Vous ne décelez pas la supercherie ? Alors vous entrez vos identifiants de compte ou vos numéros de compte sur la page web du pirate et ses informations lui sont directement envoyé.
Dès lors, vous devez considérer qu’il pourra les utiliser pour faire des achats sur Internet, ou bien les revendre à d’autres fraudeurs pour prendre moins de risques (on vous explique comment tout ça fonctionne ici). Quoiqu’il en soit, il y a de fortes chances que des transactions frauduleuses débitent votre compte Lydia dans les jours qui suivent.

Heureusement, grâce aux mesures de sécurité supplémentaires (notamment d’authentification forte) que nous avons mises en place, ces informations ne suffisent pas à un pirate pour débiter votre compte.

En effet, lorsque vous vous connectez à votre compte Lydia, ou que vous utilisez votre carte Lydia, on vous envoie un code par SMS pour nous assurer que vous êtes bien à la manoeuvre.

Mais les pirates peuvent aller jusqu’à vous demander de saisir ce code reçu par SMS*, via leur fausse page web Lydia, voire vous appeler pour l’obtenir, en se faisant passer pour un conseiller.

Munis de votre mot de passe et du code, ils accèdent à votre compte Lydia, transfèrent votre argent et courent le retirer au distributeur.

L’erreur est humaine 🤷

Les pirates jouent sur notre faiblesse numéro 1 : notre inattention. Les e-mails, on les lit rapidement, dans les transports, en marchant dans la rue, au feu rouge ou dans l’ascenseur. On ne fait jamais vraiment attention à leur contenu précis. Alors quand on nous demande de faire une action urgente pour débloquer notre compte ou pour recevoir une grosse somme d’argent, on le fait, sans réfléchir. Pourtant, la seule manière de s’assurer qu’on n’est pas victime d’une arnaque, c’est d’être vigilant :

  • Lorsque vous recevez un e-mail, vérifiez bien l’adresse de l’expéditeur. Si elle ne se termine pas par “@lydia-app.com”, cela veut dire que ce n’est pas Lydia qui vous écrit. Il s’agit d’une arnaque. Il arrive toutefois que des pirates parviennent à usurper nos adresses e-mail. Dans ce cas…
  • Lorsque vous pensez être sur le site Internet de Lydia, vérifiez bien l’adresse du site. Si elle ne commence pas par “https://lydia-app.com”, vous êtes pouvez être certain d’être sur un site pirate. N’entrez absolument aucune information sur ce site.

Ce qui se passe chez Lydia à chaque cas de « phishing » ⚔️

Chez Lydia, la sécurité de votre compte et de vos données est primordiale.C’est ce qui fait notre notoriété. C’est aussi ce qui fait que vous êtes chaque jour plus nombreux à nous faire confiance. Il arrive que certains de nos utilisateurs soient victimes de ce type d’arnaques. Dans ces cas, en moins de 48 heures :

  • Grâce à nos algorithmes basés sur l’intelligence artificielle, nous sommes immédiatement informés d’activités suspectes sur des comptes potentiellement victimes d’arnaques ;
  • Nous alertons les utilisateurs potentiellement concernés et nous prenons des mesures immédiates pour verrouiller leur compte ;
  • Nous analysons les e-mails et sites Internet frauduleux mis en cause ;
  • Nous dénonçons ces faux sites à Google. Une alerte apparaît alors à chaque fois qu’un internaute se connecte à ce site. En voici un exemple :
  • Nous aidons les autorités à réaliser des tests pour piéger les fraudeurs et découvrir leur identité ;
  • Nous prévenons plus largement nos utilisateurs des possibilités d’arnaques en cours.

Grâce à toutes les mesures que nous avons prises en termes de sécurité (authentification forte, mise en place d’une intelligence artificielle pour lutter contre la fraude et campagnes de pédagogie auprès de nos utilisateurs), ces cas restent isolés (quelques dizaines par an… sur deux millions d’utilisateurs !). Ils sont repérés et éradiqués très rapidement. Aussi parce que ces pirates opèrent via des sites Internet et des envois d’e-mails, alors que Lydia est avant tout une application mobile. Par conséquent, nous ne demandons des informations que via l’application et jamais sur un site Internet ou par e-mail.

Lors de vos échanges avec notre service client, il peut arriver que l’on vous demande votre numéro de téléphone, votre adresse e-mail, votre nom ou votre date de naissance afin de vérifier ou modifier certaines informations de votre compte. Toutefois, nous ne vous demanderons jamais d’informations secrètes comme un mot de passe.

*A la suite d’une campagne de phishing ayant eu lieu en janvier 2019, nous avons modifié le fonctionnement du second facteur d’authentification pour envoyer un lien cliquable au lieu d’un code à saisir. Ainsi, nos utilisateurs devraient être moins enclins à le saisir ailleurs que dans l’application.

Related Posts for WordPress Link

Related Posts for WordPress Link

Related Posts for WordPress Link