Voici votre guide détaillé sur le faux-semblant, ses diverses formes, des exemples concrets d’escroqueries et, surtout, les méthodes pour s’en prémunir.
L’absence de pauvreté sur Terre serait une réalité s’il existait une voie facile et universelle vers la richesse.
Malheureusement, ce n’est pas le cas. Ainsi, certaines personnes n’hésitent pas à employer des stratagèmes pour soutirer l’argent durement gagné à autrui. Ces tentatives prennent des formes variées, allant des arnaques sentimentales à l’usurpation d’identité, en passant par les escroqueries liées aux cryptomonnaies et même l’utilisation de clés USB.
Bien que chaque type d’escroquerie ait une désignation spécifique, une catégorie globale bien connue englobe toutes ces pratiques malhonnêtes : le faux-semblant.
Qu’est-ce que le faux-semblant ?
En termes simples, le faux-semblant consiste à créer une situation, souvent présentée comme une urgence, afin de vous inciter à divulguer des informations sensibles que vous ne partageriez pas en temps normal.
Cependant, il ne s’agit pas simplement d’un SMS aléatoire. Le faux-semblant repose sur différentes techniques et méthodes, que nous détaillons ci-dessous.
#1. Hameçonnage
L’hameçonnage, ou phishing, est la technique la plus courante et celle que la plupart d’entre nous connaissent plus ou moins. Il s’agit de recevoir des courriels, des SMS, ou autres messages, vous incitant à cliquer sur un lien qui peut télécharger un logiciel malveillant ou vous rediriger vers un site web frauduleux.
Le premier cas peut entraîner le vol de données sensibles ou le blocage de votre ordinateur personnel, exigeant une rançon pour en rétablir l’accès.
Le second cas, quant à lui, consiste en un site web imitant à la perfection un site légitime, dans le but de dérober les informations que vous y saisissez, notamment vos identifiants de connexion.
#2. Vishing
Le vishing, ou hameçonnage vocal, est une variante du phishing qui utilise les appels téléphoniques. Au lieu de courriels, vous recevez des appels de personnes prétendant être des agents du service client d’une entreprise que vous utilisez ou de votre banque.
La victime peut se retrouver sous pression, ou manipulée par un sentiment d’urgence, afin d’exécuter une action pour continuer à bénéficier d’un service. Parfois, l’escroc demande à sa victime de régler des sommes importantes, souvent précédées de frais de « traitement ».
#3. Logiciels effrayants
Les logiciels effrayants (scarewares) s’adressent aux internautes qui visitent des sites peu fiables ou qui cliquent sur un lien malveillant reçu par courriel ou SMS. Une fenêtre surgit alors, affirmant que votre système est infecté et vous incitant à télécharger un programme pour effectuer un nettoyage gratuit.
Personne n’aime les virus, mais télécharger cet « antivirus » à partir d’une fenêtre contextuelle peut causer des dégâts considérables sur votre appareil, en installant des logiciels espions, des rançongiciels et autres programmes malveillants.
#4. Appâtage
L’appâtage utilise la curiosité et le désir d’obtenir quelque chose avant les autres pour servir des intentions malveillantes.
Par exemple, une clé USB abandonnée sur le sol d’une entreprise, dont le personnel n’est pas suffisamment formé, attirera inévitablement l’attention. Une personne la ramasse, la branche sur un ordinateur de l’entreprise, compromettant ainsi la machine, voire tout le réseau.
De même, une offre exceptionnellement alléchante, présentée comme sur le point d’expirer, peut apparaître sur une plateforme en ligne. Un simple clic peut mettre en danger un ordinateur personnel, voire toute une institution.
Voilà quelques exemples de techniques de faux-semblant utilisées lors d’attaques en ligne. Examinons maintenant comment ces mécanismes sont adaptés à des situations concrètes pour escroquer un grand nombre de personnes.
Arnaques sentimentales
Ces arnaques sont parmi les plus complexes et difficiles à déceler. Après tout, qui voudrait briser une relation amoureuse potentielle sur la base de simples soupçons ?
Les arnaques sentimentales commencent souvent par un contact avec un inconnu sur une application de rencontres. Il peut s’agir d’un faux site de rencontres créé pour récupérer les informations personnelles de personnes vulnérables et en quête d’amour. Toutefois, il peut aussi s’agir d’un site légitime, comme Plenty of Fish, où un escroc se fait passer pour le partenaire idéal.
Dans les deux cas, la relation évoluera généralement rapidement (mais pas toujours), et vous vous réjouirez d’avoir trouvé l’âme sœur.
Cependant, les appels vidéo seront systématiquement refusés, et les rencontres réelles sembleront impossibles en raison de circonstances « imprévues ». De plus, votre interlocuteur pourrait chercher à déplacer la conversation hors du site de rencontres initial.
Par la suite, les escrocs peuvent demander à leur victime de financer un déplacement pour une rencontre en personne. Ou, ils pourraient proposer une opportunité d’investissement incroyable avec des retours alléchants.
Les arnaques sentimentales prennent de nombreuses formes, mais les cibles habituelles sont les femmes naïves en quête d’un partenaire fiable. Une autre catégorie de victimes fréquente concerne le personnel militaire en mission, tombant dans des relations en ligne et divulguant des informations classifiées.
En résumé, si votre partenaire en ligne semble plus intéressé par votre argent ou vos informations personnelles que par vous, il y a de fortes chances qu’il s’agisse d’une arnaque.
Escroqueries par usurpation d’identité
L’usurpation d’identité est l’ingénierie sociale dans sa forme la plus directe. De nombreuses personnes en ont été victimes, y compris des PDG d’entreprises renommées et d’universités prestigieuses.
Comment expliquer, par exemple, que le PDG de Bitpay ait été escroqué de 5 000 Bitcoins (soit 1,8 million de dollars à l’époque) avec un simple courriel ?
Le pirate avait habilement accédé à l’un des comptes de messagerie d’un cadre de Bitpay. Il a ensuite envoyé un courriel au PDG de Bitpay concernant le règlement d’un paiement à un client, SecondMarket. La fraude n’a été découverte que lorsqu’un employé de SecondMarket a été informé de la transaction.
De plus, Bitpay n’a pas pu obtenir d’indemnisation car il ne s’agissait pas d’un piratage, mais d’un cas classique de phishing.
Cependant, l’usurpation d’identité peut également prendre la forme d’intimidation.
Les victimes reçoivent des appels menaçants de prétendus « agents des forces de l’ordre », exigeant des règlements immédiats sous peine de poursuites judiciaires.
Rien qu’à Boston (Massachusetts, États-Unis), l’usurpation d’identité a causé des pertes s’élevant à 3 789 407 $ avec plus de 405 victimes en 2020.
L’usurpation d’identité peut également se manifester physiquement. Par exemple, des « techniciens » appartenant à votre fournisseur d’accès Internet peuvent se présenter à votre domicile pour « réparer certains éléments » ou effectuer une « vérification de routine ». Par timidité ou par manque de temps, vous ne demandez pas de détails et les laissez entrer. Ils peuvent compromettre vos systèmes, ou pire, commettre un vol.
Une autre technique courante d’usurpation d’identité est la fraude par courriel du PDG. Vous recevez un courriel, apparemment envoyé par votre PDG, vous demandant d’accomplir une « tâche », souvent liée à une transaction avec un « fournisseur ».
Pour éviter d’être victime de ces attaques, prenez le temps de vous calmer et d’éviter de réagir précipitamment. Vérifiez les informations de l’appel, du courriel ou de la visite, et vous éviterez de perdre de l’argent.
Arnaques liées aux cryptomonnaies
Il ne s’agit pas d’une nouvelle catégorie, mais d’une forme de faux-semblant exploitant les cryptomonnaies.
Comme l’éducation aux cryptomonnaies est encore limitée, les gens continuent de tomber dans le panneau. Le scénario le plus courant est une offre d’investissement extraordinaire.
Les escroqueries cryptographiques peuvent piéger plusieurs victimes et prennent parfois du temps avant de frapper. Ces stratagèmes sont souvent mis en place par des organisations criminelles qui tentent d’inciter les investisseurs à injecter leur argent dans des systèmes de Ponzi.
Lorsque la valeur de la « pièce » atteint un certain seuil, les escrocs liquident leurs avoirs, organisant ce qu’on appelle un « rug pull ». Les investisseurs se retrouvent alors avec des cryptomonnaies sans valeur.
Une autre escroquerie courante consiste à inciter les utilisateurs peu familiers avec la technologie à révéler leurs clés privées. Une fois cela fait, les fonds sont transférés vers un autre portefeuille. Étant donné l’anonymat des cryptomonnaies, il est souvent difficile de retracer les fonds volés, rendant leur récupération quasi impossible.
La solution consiste à faire des recherches.
Vérifiez la légitimité de l’équipe qui se cache derrière ces projets. En règle générale, n’investissez pas dans de nouvelles pièces avant qu’elles n’aient fait leurs preuves et n’aient acquis une valeur sur le marché. N’oubliez pas que les cryptomonnaies sont volatiles et sujettes aux arnaques. N’investissez donc que les sommes que vous pouvez vous permettre de perdre.
Si vous souhaitez en savoir plus, consultez ce guide sur les escroqueries cryptographiques de Bybit.
Comment lutter contre le faux-semblant
Détecter le faux-semblant n’est pas aisé, et la formation nécessaire pour s’en défendre ne peut être ponctuelle. Les méthodes de fraude évoluent en permanence.
Cependant, le principe de base reste le même, et vous pouvez retenir les conseils suivants pour garder une longueur d’avance.
#1. Apprenez à dire NON !
Beaucoup de gens ont tendance à coopérer face à des courriels ou des appels téléphoniques étranges, même s’ils ont un mauvais pressentiment.
Faites confiance à votre instinct. Consultez vos proches avant de prendre une décision risquée, comme partager des informations bancaires, transférer de l’argent ou cliquer sur un lien suspect.
#2. Formez votre personnel
Il est dans la nature humaine d’oublier. Ainsi, un seul avertissement lors de l’embauche ne suffira pas.
Organisez des exercices mensuels de simulation d’escroqueries pour sensibiliser votre équipe. Même un courriel hebdomadaire sur les dernières attaques par faux-semblant contribuera grandement à la cause.
#3. Investissez dans un bon antivirus
Le faux-semblant implique souvent l’utilisation de liens douteux. Un antivirus de qualité vous offrira une protection efficace.
Ces logiciels disposent de bases de données partagées et d’algorithmes sophistiqués qui effectuent le travail pour vous.
De plus, si un lien vous paraît suspect, ouvrez-le plutôt dans un moteur de recherche.
#4. Livres et formations
Internet regorge de conseils utiles (et parfois mauvais) pour éviter le faux-semblant, mais certains préfèrent les méthodes d’apprentissage traditionnelles. Voici quelques ouvrages pertinents :
Ces ressources sont particulièrement utiles pour une formation approfondie à votre rythme, sans ajouter de temps passé devant les écrans.
Une autre option, idéale pour vos employés, est le cours sur l’ingénierie sociale d’Udemy. Ses principaux avantages sont l’accès à vie et la possibilité de suivre le cours sur mobile et TV.
Ce cours couvre les techniques de faux-semblant numérique et physique, la manipulation psychologique, les techniques d’attaque, la communication non verbale, etc., ce qui sera particulièrement utile aux débutants.
Utilisez le bouclier de la connaissance !
Comme nous l’avons déjà indiqué, les escrocs trouvent sans cesse de nouvelles façons de tromper les internautes, même les plus avertis.
La seule solution est l’éducation et le partage d’expériences sur les réseaux sociaux.
Les escroqueries se répandent même dans le métavers. Découvrez comment éviter la fraude dans le métavers et consultez ce guide pour vous familiariser avec ce monde virtuel.