PHISHING _ Ces sms_mails qui vident vos comptes bancaires (Ft. @Nowtech)
Category
🤖
TechTranscript
00:00 Mais franchement, se faire prendre 600 balles comme ça,
00:03 au sens de la honte, tu te sens humiliée vraiment.
00:05 "Fix people" a beaucoup de chiffres critiques en ce moment de Zbergaf.
00:09 Il y avait qu'un vide.
00:10 Au téléphone, il a vu que j'étais paniquée,
00:12 je lui ai dit vraiment que je n'avais pas d'argent.
00:13 Tu vois toutes les informations, donc la carte, le level de la carte,
00:17 les informations d'où elle réside et les informations personnelles.
00:21 Donc là, il y a du nom de téléphone, etc.
00:23 Tu te dis que ce sont des gens qui n'ont pas du tout d'empathie.
00:26 [Générique]
00:41 Bonjour tout le monde !
00:42 On vous souhaite la bienvenue dans la planque anti-arnaque de France TV/
00:46 Moi c'est Jérôme.
00:47 Et moi c'est Guillaume.
00:48 On est la chaîne Nowtech sur YouTube.
00:50 On va vous parler de phishing, hameçonnage en français.
00:53 Les escroqueries et les abus de confiance, c'est vieux comme le monde.
00:56 Mais aujourd'hui, ça se passe à une échelle industrielle,
00:59 par mail et par message.
01:00 Et oui, avant, on repérait le phishing assez facilement.
01:03 Les messages étaient souvent bourrés de fautes d'orthographe
01:06 et le graphisme était très cheap.
01:07 Mais depuis quelques temps, les escrocs améliorent leur technique
01:10 et font de plus en plus de victimes.
01:12 Eh bien, on va décrypter ensemble ces arnaques
01:15 pour vous éviter de vous faire avoir.
01:16 Selon la plateforme cybermalveillance.goo.fr,
01:20 le phishing est la cybermenace la plus importante rencontrée par les français.
01:24 Et en 2021, elle était en augmentation de 139%.
01:28 Le phishing, c'est la combinaison de deux mots.
01:30 "Phreaking", qui signifie piratage téléphonique,
01:32 et de "phishing", la pêche.
01:34 Les escrocs qui pratiquent cette arnaque lancent un maximum de messages frauduleux,
01:38 puis ils attendent que quelqu'un morde à la meçon.
01:40 Par exemple, ces SMS qu'on reçoit tous régulièrement.
01:43 "Netflix, votre dernier paiement a échoué,
01:46 veuillez confirmer vos informations ci-dessous."
01:48 "Paypal, une tentative de fraude est en cours sur votre compte."
01:51 "Chronopost, votre livraison est bloquée."
01:53 Tiens, celui-là, j'ai failli cliquer dessus l'autre jour d'ailleurs.
01:55 En fait, j'attendais un colis venu du Canada,
01:57 et le SMS que j'avais reçu stipulait que mon colis était bloqué en douane.
02:01 En fait, dans ce genre de situation, on est vraiment vulnérable.
02:03 Et justement, Guillaume, tu n'es pas seul.
02:05 On a rencontré Laetitia, une jeune maman qui, hélas, s'est fait arnaquer
02:09 en pensant renouveler sa carte digitale.
02:11 Elle avait reçu ce texto avec un lien pour changer sa carte en un clic.
02:15 C'était la période où je devais faire les vaccins parce que ma fille rentrait à l'école en septembre.
02:19 Et du coup, il me fallait absolument ma carte vitale et tout.
02:21 Et du coup, ça arrivait vraiment au moment où j'avais vraiment besoin de ma carte vitale.
02:26 Ça tombe bien, je vais vite sur le lien.
02:28 Alors, ce lien l'emmène sur ce qu'elle pense être le site internet de la Sécurité sociale.
02:32 Mais en réalité, c'est une réplique à l'identique créée par un escroc.
02:36 Elle remplit maintenant le formulaire de renouvellement.
02:38 Là, après, il me demande de rentrer mon numéro de carte bleue.
02:41 Je trouve ça un peu bizarre, mais ils me disent que c'est pour l'envoi.
02:43 En y réfléchissant, je me dis franchement, j'ai été suffisante.
02:46 Donc, je rentre tout, je termine et tout, hyper satisfaite.
02:49 Je me dis, ah, ça va, soulagement, je vais bientôt recevoir ma carte vitale.
02:52 Ce qu'elle ne sait pas encore, c'est qu'un escroc s'empare directement de ses coordonnées bancaires.
02:57 Le piège se referme.
02:58 Il ne reste pour l'escroc qu'à obtenir la clé de sécurité bancaire pour valider un achat.
03:02 Et le coup de grâce arrive par téléphone.
03:04 Dix minutes après, un quart d'heure après, j'ai un mec qui m'appelle.
03:07 Il dit comme quoi c'est un agent du crédit agricole.
03:10 Il me demande si j'ai reçu un message de Amélie pour changer ma carte vitale et tout.
03:15 Je lui dis que oui. Il me dit comme quoi c'est une fraude.
03:17 Et que là, il a encore temps d'arrêter les prélèvements.
03:22 Donc moi, je suis en plein stress et tout, je suis dans la panique.
03:24 Il m'a demandé d'aller voir mon plafond.
03:27 Donc, j'ai réussi à rentrer sur mon compte.
03:28 Il me demande d'aller voir mon plafond et tout.
03:30 Je trouve ça un petit peu bizarre, mais je te jure, moi, je ne capte rien.
03:34 Et puis en plus, franchement, il parlait...
03:36 J'avais vraiment l'impression que c'était un banquier, le mec.
03:38 Et donc là, j'arrive à accéder à mon compte.
03:39 C'est un soulagement et tout.
03:40 Donc il me dit, OK, donc là, il y a une opération qui va s'afficher.
03:44 Cliquez sur l'opération, acceptez pour ensuite que je vous fasse tous les remboursements nécessaires et tout.
03:49 Donc là, j'ai une opération de 560 qui s'affiche et j'accepte.
03:53 Pendant à peu près cinq minutes, il me fait poireauter et tout.
03:56 Il me dit, bon, OK, alors maintenant, attendez, je vais faire les remboursements et tout.
03:59 Et du coup, il revient vers moi.
04:01 Il me dit, OK, il y a un deuxième prélèvement qui a été fait.
04:03 Donc, il faut de nouveau accepter l'opération.
04:06 Et là, je commence vraiment à trouver ça louche, en fait.
04:08 Enfin voilà, je sens que je suis en train de me faire arnaquer.
04:11 Et du coup, je coupe directement et j'appelle ma banque.
04:15 Ils ont juste mis ma carte en opposition.
04:18 Ils ne peuvent pas me rembourser parce que j'ai cliqué sur accepter.
04:22 C'est moi qui ai fait les opérations et tout.
04:25 Ils n'ont pas pu me rembourser.
04:26 Te faire prendre 600 balles comme ça, ça fait mal.
04:29 Tu ressens de la honte, tu te sens humilié vraiment.
04:32 Tu te sens vraiment comme une merde, en fait.
04:34 En fait, ce qui est arrivé à Laetitia, ça peut vraiment arriver à tout le monde.
04:37 Sachez que même des personnalités publiques se sont fait avoir.
04:40 Et les montants sont parfois spectaculaires.
04:42 Ça peut aller jusqu'à des dizaines de milliers d'euros.
04:44 Mais alors, comment font-ils concrètement ?
04:46 Pour le savoir, on a enquêté et on a suivi une formation en escroquerie.
04:50 Bon, alors, on vous le dit tout de suite, cette formation n'est pas finançable par le CPF.
04:54 Donc, on a traîné sur des sites pas recommandables.
04:56 Et après plusieurs manipulations, on a reçu un appel sur une messagerie chiffrée.
05:00 Nom de code de notre interlocuteur, un certain Tortue Ninja.
05:03 Ah bah lui, on est sûr qu'il ne va pas nous raconter des salades.
05:06 Tout ce qu'on peut vous dire, c'est qu'il a l'air jeune, d'avoir de solides compétences en informatique,
05:10 et qu'en 40 minutes, on sera opérationnel sur n'importe quel type de phishing.
05:14 Mais on n'en saura pas plus sur Tortue Ninja.
05:16 Tout s'est déroulé en ligne et de manière anonyme.
05:18 [sonnerie de téléphone]
05:20 Allô, Lou ? Les enfants ?
05:21 Juste avant ça, est-ce que tu le...
05:23 sais, tu voudrais quoi comme Scamma ?
05:25 Scamma, c'est comme ça qu'il appelle les fausses pages imitant un service connu.
05:29 Comme par exemple Netflix, PayPal, les impôts, Colissimo, Critter, la CAF, la carte vitale, etc.
05:34 Nous, on choisit la carte vitale pour comprendre un peu mieux l'histoire de Laetitia.
05:38 La première étape, il faut envoyer des SMS frauduleux sur les téléphones des potentielles victimes.
05:43 Pour cela, les escrocs utilisent un sender, un logiciel chinois,
05:47 qui permet d'envoyer des milliers de messages en même temps.
05:50 Évidemment, il faut fournir des numéros de téléphone, ce que les escrocs appellent une num' list.
05:55 [sonnerie de téléphone]
06:00 Allô, bonjour.
06:01 Ici, un seul coffic téléphone, on va mettre 06, toujours en 06.
06:05 Et combien de numéros ont généré ? Ça c'est un petit verrat, mais pour les gens, je vais vous le dire.
06:09 T'as bien les nuits de numéros qui ont été générés en 06 comme je t'ai demandé.
06:13 C'est-à-dire qu'en fait, les numéros qui sont valides et les autres invalides.
06:15 Donc faut jamais s'emmerder avec ça, parce que t'auras pas vu le résultat.
06:18 Parce qu'il y a beaucoup de numéros invalides et très peu de numéros valides.
06:22 Ce qu'on va faire, c'est passer par différentes phases de check.
06:24 Ce qui m'a intéressé, du coup, c'est QSFR, orange, gris, épouille.
06:28 Et du coup, sur les billes de RASC 841, on est sûr que c'est les deux opérateurs.
06:33 Maintenant, ce qu'on va faire, c'est simple.
06:34 On va ouvrir le checker Amazon.
06:36 Ensuite, il va t'emmener sur les numéros qui sont valides ou pas.
06:38 Voilà.
06:41 Il va lancer le check.
06:42 Quand les numéros sont passés en vert, du coup, c'est...
06:44 Comme tu peux le voir ici, c'est que le numéro est valide.
06:47 Alors comment il détecte un numéro valide et un numéro invalide ?
06:50 En fait, c'est ça qui passe aussi d'Amazon.
06:51 Il va tenter de créer un compte Amazon avec le numéro que tu lui as donné.
06:56 Grâce à cette technique, en moins de cinq minutes,
06:58 on a généré une liste de plusieurs centaines de numéros de téléphone valides.
07:02 Et c'est là qu'on arrive à la deuxième étape.
07:04 On met en ligne la Scamma, donc la réplique du site de la sécurité sociale,
07:09 qu'on a achetée sur le Dark Web.
07:10 Ne faites pas ça chez vous.
07:12 Et là, on a choisi un nom de domaine.
07:14 Renouvellement-santé.fr.
07:17 Ce qui va induire en erreur nos futures fausses victimes.
07:20 C'est ce lien qu'on va mettre dans le SMS.
07:23 Il va nous permettre de dérober les codes de carte bancaire
07:26 et informations personnelles de nos victimes.
07:28 Pour de faux, bien sûr.
07:30 Dès que quelqu'un clique sur le lien,
07:32 il arrive sur le faux formulaire de renouvellement de la carte vitale.
07:36 Et c'est là qu'il rentre ses codes de carte bleue et ses informations personnelles.
07:40 Voilà comment on les récupère.
07:41 Il faut bien comprendre que la phase finale de l'arnaque, c'est maintenant.
07:44 Muni de ces informations, nous pouvons appeler la victime
07:47 et nous faire passer pour son banquier.
07:49 Là, on récupère la clé de sécurité bancaire
07:51 afin de procéder à des virements frauduleux.
07:53 On rappelle quand même que l'escroquerie,
07:55 c'est puni de 5 ans d'emprisonnement et 300 000 euros d'amende.
07:59 En 2021, 1 300 000 personnes ont été victimes d'arnaques au phishing en France
08:04 pour un montant global de 464 millions d'euros dérobés.
08:06 Pour faire face à ce fléau, le gouvernement a créé le campus cyber.
08:10 Inauguré en février 2022,
08:12 il rassemble près de Paris des acteurs publics et privés
08:16 spécialistes de la cybersécurité.
08:18 Parmi eux, la cellule cyber Malveillance,
08:20 un organisme dédié à l'aide aux victimes.
08:22 Nous avons rencontré le directeur général, Jérôme Notin,
08:25 et nous lui avons demandé comment reconnaître une réplique de site officiel.
08:28 C'est de plus en plus compliqué.
08:30 Là, ce site, par exemple, reprend toute la charte graphique de l'assurance maladie.
08:35 Comme sur le vrai site, on nous demande un code postal.
08:38 Donc, je vais simuler qu'on est parisien.
08:42 Et ensuite, très vite, ils vont nous demander nos coordonnées
08:47 pour récupérer son numéro de carte de crédit.
08:51 Les éléments dont on peut prendre en compte,
08:54 par exemple, envoi-ameli.fr, ce n'est pas du tout le site ameli.fr.
08:58 Et puis, par exemple, si je clique ici et que je passe ma souris,
09:02 on voit qu'on reste sur le même site, mais il ne se passe rien.
09:05 Donc, sur le vrai site Ameli, évidemment,
09:08 on serait dirigé vers une page qui correspond au sujet sur lequel on a cliqué.
09:13 Ne jamais, jamais, jamais donner ces coordonnées.
09:16 Le Trésor public, donc les impôts Ameli, Critère ou je ne sais pas quoi,
09:20 détiennent déjà ces éléments.
09:22 Donc, ils ne vont pas nous le redemander,
09:23 que ce soit pour un remboursement ou pour l'envoi d'une carte.
09:26 On va directement sur Ameli, on va directement sur impôts.gov.fr
09:29 pour voir si, effectivement, on nous a contactés.
09:33 Et dans son espace privé, on verra le message de l'organisme.
09:36 Retenez bien son principal conseil,
09:38 ne cliquez jamais sur un lien qu'on vous a envoyé.
09:41 Allez par vous-même sur le site en passant par votre navigateur.
09:45 Si vous vous êtes fait avoir, surtout, et c'est très important,
09:48 allez porter plainte sur la plateforme TZ.
09:50 Elle est faite pour ça, ou éventuellement au commissariat.
09:52 Ça permet aux autorités d'alimenter leur base de données
09:55 pour remonter jusqu'aux escrocs.
09:56 Porter plainte, c'est important,
09:58 mais c'est également une étape indispensable
10:00 pour être dédommagé par votre banque.
10:02 Selon le Code monétaire et financier,
10:04 la victime d'une arnaque à la carte bleue
10:07 n'est pas tenue responsable en cas de débit frauduleux
10:10 tant qu'il est en possession de sa carte bancaire.
10:12 Votre banque risque de refuser de vous rembourser,
10:14 mais la loi française en matière d'escroquerie
10:17 est très protectrice des usagers.
10:19 Alors, insistez !
10:20 Sur ces conseils, n'oubliez pas que les arnaques,
10:22 ça arrive partout et à tout le monde.
10:25 Il n'y a pas de honte à avoir si ça vous arrive,
10:27 mais réagissez pour vous et pour les autres.
10:30 Et à très bientôt ! Ciao !
10:31 [Musique]