Arnaque : les courriels et appels faussement attribués à Amazon
C'est la ixième arnaque usurpant les couleurs d'Amazon. Elle visera sans doute le public français bientôt. Mais on en viendrait à se demander si les escrocs bénéficient de la complicité passive des firmes servant de prétexte à leurs magouilles.
Peu à voir... Apparemment. J'ai laissé l'option géolocalisation active sur mon portable. Je fais une halte à ... et le lendemain, un site de promotions hôtelières me propose (cela arrive dans mon dossier des pourriels, mais pas toujours) de réserver une nuit dans un établissement de cette localité.
Plus en rapport. Je suis client du fournisseur d'accès Internet Y. J'ai laissé Google et je ne sais plus qui de consigner mes données de cartes de crédit. Cela coince avec l'une d'elle (des données mal renseignées par moi-même, semblerait-il). Deux jours plus tard, dans ma boîte de courriels (classeur courant), je reçois un avis présumé provenir de Y m'indiquant que, à la suite d'un problème de carte de crédit, je n'ai pu honorer ma facture. J'ai cliqué (suivi le lien) et me suit retrouvé sur un site aux couleurs, goûts et saveurs de Y, mais avec une adresse réticulaire (URL) sans rapport... Ayant été échaudé (par un courriel se prétendant provenir d'un site de la Sécu), j'ai fui.
Venons-en à l'actualité. Amazon Prime. Nombre de Britanniques ont reçu des avis leur demandant de prolonger leur abonnement au service Amazon Prime. Service auquel ils ont ou non souscrit. Là, vous n'êtes pas redirigé vers un site mais enjoint d'appeler un numéro de téléphone (c'est bien sûr facturé lourd). Un opérateur à l'accent pakistanais ou indien vous rassure. Vous avez été victime d'un piratage, d'un hameçonnage, mais tout va rentrer dans l'ordre... Il suffit de fournir vos coordonnées bancaires pour que tout prélèvement soit annulé (ou tout autre prétexte en fonction de votre réaction).
Venons-en à l'actualité. Amazon Prime. Nombre de Britanniques ont reçu des avis leur demandant de prolonger leur abonnement au service Amazon Prime. Service auquel ils ont ou non souscrit. Là, vous n'êtes pas redirigé vers un site mais enjoint d'appeler un numéro de téléphone (c'est bien sûr facturé lourd). Un opérateur à l'accent pakistanais ou indien vous rassure. Vous avez été victime d'un piratage, d'un hameçonnage, mais tout va rentrer dans l'ordre... Il suffit de fournir vos coordonnées bancaires pour que tout prélèvement soit annulé (ou tout autre prétexte en fonction de votre réaction).
La presse britannique reprend l'info du Guardian selon laquelle une ou un retraité s'est fait avoir de 25 000 livres sterling. Ou alors, vous recevez un appel téléphonique. Et écoutez un message enregistré selon lequel vous avez indûment souscrit un abonnement Amazon Prime. Et il vous est indiqué la marche à suivre pour être remboursé. Ce type de modus operandi sera sans doute réutilisé en employant d'autres noms de firmes, entreprises, administrations.
La question à laquelle la presse britannique n'apporte pas de réponse est la suivante : les « prospects », futurs dupes, sont-ils sélectionnés au hasard ou parce que les escrocs savent — par quel moyen ? — qu'ils ont été à l'occasion clients d'Amazon ?
Et pour les clients du FAI français Y, qu'en est-il ?
Leurs données ont-elles été piratées directement ou furent-elles revendues à des partenaires dont les serveurs sont peu sécurisés ? Voire à n'importe qui, prête-noms de hackers inclus ?
Peut-on ou non évoquer le terme de « complicité passive » ? On se doute bien que c'est à l'insu du plein gré de tel ou tel site de vente en ligne ou de services divers que leurs fichiers finissent chez des hackers, avec ou sans la participation de certains de leurs employés (on dit plutôt à présent « collaborateurs », cadres ou non).
Sans être complotiste, on en viendrait à se demander si de tels faits nuisent vraiment à leur réputation ou leur permet de bénéficier de « publi-rédactionnels » gratis. S'il n'y a pas des consultants internes ou externes à peser le pour et le contre.
Tout comme, paranoïaque en diable, on peut finir par imaginer que les sociétés commercialisant des solutions logicielles antivirus et intrusions entretiennent des équipes de hackers mettant des virus (peu offensifs) au point. Ou revendent leurs répertoires de clients.
Ma banque en ligne m'a incité à installer le module IBM Security. Lequel indique qu'il a accès à tel ou tel site... Y compris de « non sécurisés » (comme celui de ce blogue-notes Google). Espérons que ce type de garde-fou (ou un autre) suffira... jusqu'à nouvel ordre.
Aucun commentaire:
Enregistrer un commentaire