Commentaires : Le phishing continue de faire des ravages au premier trimestre 2021

L’APWG (Anti-Phishing Working Group) a indiqué dans son nouveau rapport que les attaques basées sur le phishing
ont connu des taux record au premier trimestre 2021.

Un vrais fléau, mais étant attentif, on peut en éliminer 95% d’un simple coup d’œil, d’autres sont plus vicieux.

Dans les généralités, dès que c’est un truc alarmant (votre compte va être fermé / vérifier vos informations), alerte rouge, ne JAMAIS cliquer sur un lien dans un mails si vous en êtes pas SUR de la provenance et de son authenticité.

Dans le doute, il faut contacter le support de la plateforme via son site officiel.

La double authentification permet une bonne sécurité contre ça, mais c’est pas inviolable pour autant, un smartphone vérolé jusqu’à la mouelle ne sera pas d’une grande sécurité.

J’ai déjà eu un faux appel d’Enedis qui essaie de deviner mon RIB en devinant à partir du code de la banque et de l’agence, je n’avais qu’à leur donner le numéro du compte, donc ça ne m’étonne même pas ^^

C’est ce qui m’est arrivé la semaine dernière. Je me suis fait piraté par phishing mon compte iCloud par des pirates chinois (les achats qu’ils ont fait sont en chinois). J’avais acheté un iPad Pro et j’ai reçu un texto soit-disant d’Apple qui m’a renvoyé sur un site « Apple » très bien imité.

J’ai déjà déjoué plusieurs dizaines de tentative de phishing mais là, j’étais moins attentif (surbooké au travail et fatigué) et çe fut la cata !!

Le problème est que vous perdez votre vie entière (j’avais ce compte depuis le début de l’existence d’iCloud).

Les pirates récupèrent tout : le carnet d’adresse (600 entrées en ce qui me concerne), les mails pro et privé, les textos, les mots de passe avec le trousseau iCloud, la carte bancaire qu’il faut résilier au plus vite mais ils sont eux-même très rapide, vos photos, les app et leurs données, etc. Si vous n’avez pas fait de sauvegarde sous forme d’export, vous perdez tout DÉFINITIVEMENT. J’avais 2 Go de données perso liées à MarginNote que j’ai perdu. Pour Apple, c’est impossible de récupérer son compte. Même pour téléphoner à quelqu’un, cela pose problème puisque vous n’avez plus son numéro.

Ces pirates peuvent même bloquer à tout instant tous mes appareils Apple (un MBP, un iMac, 2 iPad, et un iPhone 12 Pro Max neuf en ce qui me concerne) avec la fonction Localiser. Ils me localisent sans problème et connaissent maintenant tout de mon identité (adresse physique, mon SIRET, num de sécu sociale, mes comptes de réseaux sociaux, etc).

Le conseiller de chez Apple m’a dit qu’il y a eu énormément de piratage de compte iCloud fin mai et début juin. Je trouve le comportement d’Apple vraiment exécrable. Ils savent qu’il est facile de pirater un compte Apple mais oblige d’utiliser un tel compte sur leurs appareils avec impossibilité de récupérer un tel compte qui continue de fonctionner entre les mains de pirates. Il serait pourtant facile de lier un tel compte à une adresse physique et d’envoyer un courrier postal avec une réinitialisation du mdp pour être sûr qu’il s’agit de la bonne personne. La double authentification avec le numéro de téléphone est de la poudre aux yeux car il a été très facile pour les pirates de mettre leur propre numéro de téléphone.

Cela peut arriver à tout le monde car l’erreur est humaine. Il suffit à un moment d’être moins attentif pour que tout bascule. Si l’APWG appelle à la vigilance, c’est que le phénomène doit être de grande ampleur. J’ajoute donc mon témoignage pour inciter à une très grande prudence et pour dépendre le moins possible des comptes dans le nuage.

Je vous conseille de configurer votre carte bancaire avec interdiction d’achat en dehors de la France ou d’Europe, ce qui limite beaucoup les risques au moins sur le plan financier.

1 « J'aime »

Dans les emails, toujours bien regarder l’URL des liens sur lesquels on clique. Un néophyte avec les yeux en face des trous remarquera toujours la supercherie.

Pour les appels téléphoniques, partir du principe que si on n’a rien demandé y a de fortes chances que ce soit un appel indésirable. Les agences présumées mandatées ont assez de boulot comme ça avec leurs clients.

Donner un RIB est sans danger. Tout ce qu’une personne pourra en faire c’est vous faire des virements.
Par contre, RIB + autorisation de prélèvement signée de votre main permettra de pouvoir effectuer des prélèvements sur ce compte. Ça sert à ça de délivrer sa signature à la banque, pour comparaison en cas de litiges. Une non ressemblance vous donnera toujours raison… Même si des fois les banques sont de mauvaise foi.

@ScarredCoyote
Pour la carte bancaire depuis 3 à 4 ans je n’ai plus aucune « vrai » carte enregistrée sur un site web.

Une carte Revolut dématérialisée, avec blocage permanent que tu débloques juste quelques secondes avant un achat. Ou alors la carte Revolut à usage unique sur les sites dont tu n’as pas trop confiance…

Bon il reste encore les abonnements mensuels, là j’ai pas encore trouvé la bonne solution. Avec les abonnements, le blocage suspend le renouvellement. Mais le risque est bien diminué comme ça avec pluque qq sites à abonnement qui ont un « vrai » numéro de carte (Et surtout pas de crédit, juste du prépayé).

Pour moi les banques « classiques » ont des années de retard dans leur sécurité de carte…

Je fais de même, aucune carte enregistrée sur un site web. Mais là, c’était un compte iCloud. Or on est quasi obligé d’inscrire une carte bancaire permanente sur un compte iCloud.

J’avais un usage pro de ce compte. Et on est obligé de passer par l’AppStore pour installer des app. Les app pro sont toutes payantes et de plus en plus, c’est un modèle par abonnement. De plus, le stockage iCloud de base est très insuffisant et il faut là aussi passer à la caisse pour avoir plus de stockage. Le prélèvement d’Apple est mensuel et je ne vois pas comment une carte avec blocage permanent est utilisable sur un compte iCloud.

J’ai eu 2 conseillers d’Apple au téléphone et ils ont été tous les deux formels : impossibilité de retrouver son compte alors qu’Apple sait que le compte a été piraté.

@ScarredCoyote Je connais très peu Apple, mais il n’y a pas de double authentification ou logiciel authentificator ? Si oui comment ça à pu arriver ?

Je me suis rendu sur le site avec mon iPhone. Or il suffit de regarder le téléphone pour que ton identité soit confirmée avec Face ID (qui est le logiciel authentificator). A un moment donné, le téléphone m’a demandé une autorisation que j’ai bêtement accordé car je croyais que la demande venait d’iOS et non du site. Je traitais un grand nombre de messages et de mail rapidement d’où une attention diminuée. Et comme le texto est arrivé peu de temps après un achat chez Apple, j’étais en confiance. Je suis le 1er responsable mais la facilité avec laquelle cela s’enchaine est déconcertante.

Je trouve ça extrêmement dangereux de se rendre dépendant de ce genre d’applications pour tout.
Perso je suis resté à l’agenda papier et la sauvegarde sur 2 disques durs. Jamais stocké quoique ce soit sur un cloud, et compte Google limité au strict nécessaire pour utiliser Androïd.

@ScarredCoyote @elminster44 Ok merci pour l’explication, j’avais bien comprit le phishing et son principe. Mais je le vois peut-être encore trop comme un « bête formulaire web ». Du coup c’est peut-être aussi en raison de la rapidité d’authentification « Face ID » qu’ils y arrivent.

Oui, le piratage s’est fait en 2 secondes max d’autant plus que l’iPhone 12 est très réactif. Je me suis très rapidement rendu compte que c’était louche mais c’était trop tard. Le mdp et le num de téléphone avait été changés quasi instantanément certainement par un robot. À partir de ce moment, tout était terminé.

Apple, Google et les banques devraient interdire le changement simultané du mot de passe et du numéro de téléphone d’authentification et imposer un délai de plusieurs jours entre ces 2 changements. Cela me parait tellement évident que je ne peux pas m’empêcher de penser à une certaine complaisance de ces grands groupes vis-à-vis du piratage.

Il est loin le temps où le scam ou le phising étaient basé sur de simples formulaires remplis de fautes d’orthographe :wink: Maintenant la copie de sites est quasiment identique à l’original. Même les banques ou les impôts y passent. Avec un peu d’inattention le tour est joué et les pirates comptent souvent la dessus. Une fois j’ai même vu lune copie d’un site être a l’identique ou quasiment de l’ original. La seule chose qui m’a fait tiquer c’est l’authentification demandée sur un partie du site non valide :thinking:

Bah en fait, si, une fois que l’IBAN est complet, ils peuvent valider le prélèvement automatique facilement par téléphone avec ton accord et en enregistrant la conversation !