Vous avez peut-être un sens aigu du repérage des escroqueries, mais les fraudeurs trouvent de nouveaux moyens de militariser les systèmes de confiance pour éviter d’être détectés. Par exemple, les acteurs malveillants génèrent de véritables tickets d’assistance Apple pour hameçonner les codes d’authentification à deux facteurs (2FA) et accéder aux comptes iCloud.
Le schéma, détaillé sur Medium par Eric Moret, chercheur en sécurité et chef de produit logiciel, montre comment les tactiques d’ingénierie sociale peuvent semer juste assez de peur et de confusion pour tromper même ceux qui connaissent les signaux d’alarme. (L’arnaque au transfert d’argent qui a escroqué un chroniqueur de conseils financiers de 50 000 $ en est un autre exemple.)
Comment les fraudeurs exploitent le système d’assistance d’Apple
L’arnaque au support Apple a commencé avec un message texte d’Apple contenant un code 2FA, suivi de notifications de vérification sur tous les appareils, indiquant que quelqu’un essayait de se connecter au compte de Moret. Il a ensuite reçu un appel automatisé d’Apple avec un autre code 2FA. Le texte a été envoyé à partir d’un code court à cinq chiffres et l’appel à partir d’un numéro gratuit, tous deux utilisés par des entreprises légitimes et pas nécessairement des signaux d’alarme d’une arnaque.
L’appel suivant, cependant, provenait d’un numéro de téléphone 404 basé à Atlanta. L’appelant a affirmé appartenir au support Apple, a déclaré que le compte de Moret était attaqué et lui a assuré qu’ils ouvraient un ticket d’assistance. Au cours d’un appel de suivi d’une durée de 25 minutes, Moret a reçu une véritable confirmation de cas d’assistance Apple par e-mail (il s’avère que n’importe qui peut créer un ticket d’assistance Apple au nom de quelqu’un d’autre) et a été invité à réinitialiser son mot de passe iCloud.
Il a ensuite reçu un lien par SMS – du numéro 404 cette fois – pour clôturer le ticket. Après avoir cliqué, Moret a été dirigé vers un site Web de phishing qui usurpait une véritable page Apple (l’URL était Appeal-apple(dot)com), où il a été invité à saisir un code 2FA à 6 chiffres qu’il venait de recevoir par SMS. Un e-mail dans sa boîte de réception l’a ensuite alerté qu’un Mac mini inconnu avait été utilisé pour se connecter à son compte iCloud, ce que le représentant au téléphone lui a dit était « attendu dans le cadre du processus de sécurité » et de la « procédure standard ».
Moret a ensuite immédiatement réinitialisé son mot de passe iCloud pour désactiver l’appareil non autorisé.
Avec le recul, il peut être facile de voir les signes : l’appel non sollicité concernant un problème de sécurité urgent, le numéro 404, le lien de phishing qui n’est pas un véritable sous-domaine Apple, la demande d’un code d’authentification. Mais le ticket d’assistance Apple – avec un numéro de dossier réel et des e-mails officiels provenant des domaines apple.com – apportait juste assez de crédibilité, et les multiples notifications 2FA juste assez d’urgence pour fonctionner.
C’est le problème de l’ingénierie sociale. Il manipule des émotions et des instincts plus forts que la logique et la raison, conduisant à des actions qui ne sont pas dans notre intérêt.
Comment rester en sécurité
Comme toujours, vous devez vous méfier de toute personne qui vous appelle, vous envoie des SMS ou vous envoie des e-mails au sujet d’un problème de sécurité ou de compte, même si vous avez reçu de véritables alertes de sécurité ou si elle dispose d’un numéro de dossier légitime. Ne cliquez pas sur les liens, ne saisissez pas vos informations d’identification et ne fournissez pas de codes lorsque ces appelants non sollicités vous y demandent. N’acceptez pas d’être rassuré par quiconque au téléphone, aussi calme et confiant soit-il.
Si vous êtes inquiet, vous devez nous contacter directement en utilisant des informations de contact fiables ou ouvrir vous-même des tickets d’assistance. Vérifiez toujours attentivement les URL et les sous-domaines, car les pirates peuvent jouer des tours pour leur donner une apparence légitime.
Sachez également que le simple fait d’activer 2FA ne suffit pas pour assurer la sécurité de vos comptes. Certains formulaires sont (évidemment) facilement hameçonnés, donc si possible, vous devez utiliser une méthode d’authentification multifacteur comme une clé matérielle ou des informations d’identification WebAuthn (biométrie et mots de passe) plutôt que des codes.
