Allô, maman… bobo !

Posted On 20 Juil 2022

Tag: arnaque allo, cb, données bancaires, fraude, piratage

Arnaque dite au « ALLÔ » : c’est l’arnaque du moment, une personne avec un discours bien rodé vous appelle en se faisant passer pour votre conseiller clientèle.

Souvenez-vous, il y a quelques semaines, dans la ZATAZ Twitch Emission (rediffusion sur Youtube ZATAZ), je vous montrais les agissements de pirates informatiques spécialisés dans la technique malveillante du « ALLÔ ». La Brigade des Fraudes aux Moyens de Paiement – BFMP (Direction régionale de la Police Judiciaire) propose aux lecteurs de ZATAZ de revenir sur cette méthode pirate qui fait pas mal de dégâts.

Il faut bien comprendre que dans une attaque « Allô », l’escroc connaît déjà de nombreux éléments sur la personne visée. Ces données ont été acquises sur divers sites proposant de la donnée (certains sites sur le Dark Web, des canaux de discussion sur des applications tel que TELEGRAM, certains sites en clairs avec juste une inscription).

Ces données ont été récupérées en majeur parti par du phishing par mail (Netflix, Disney+, Banque, Impôts, Sécurité Sociale, EDF, etc) ou par des campagnes de SMS (pour la carte vitale/AMELI, le CPF) ou bien sur une fuite de données.

Donc, les escrocs ont, en majeur partie, toutes vos données personnelles. Ils ont le nom, prénom, adresse, téléphone, référence de la carte bancaire (les seize numéros, la date de validité et le cryptogramme de sécurité). Avec toutes ces informations, ils ne leur manque que la validation par le 3D Secure (ou certicode pour certaine banque) ou la validation par l’application bancaire de la victime.

Pour ce faire, ils appellent donc la victime en se faisant passer pour le conseiller clientèle. Avec leur discours bien rodé et toutes les informations en leur possession, ils tentent de se faire valider « un retour de fonds » qui en réalité est soit le code de confirmation d’achat sur un site marchand, l’ajout d’un bénéficiaire dans la section des virements ou même un virement sur un compte extérieur.

Certaines victimes en totale confiance leur donnent même les accès complets au compte

Les escrocs font des achats sur des sites de vêtements de luxe, de maroquinerie de luxe, de high tech, etc. Lorsqu’ils font des virements, ils « achètent » des comptes bancaires à des personnes (généralement 100 à 200€ par compte bancaire) et s’en servent pour recevoir les fonds. L’argent ainsi obtenu est ventilé sur d’autres comptes (principalement des banques en ligne) et partent ensuite vers l’étranger. Ils font aussi de l’investissement dans les cryptomonnaies.

Sur les comptes finaux des banques en ligne qu’ils ont préalablement ouverts sous fausses identités ou identités usurpées, ils procèdent à la décaisse en espèces.

Ces escrocs utilisent des applications ou des sites qui usurpent le numéro du service fraude de la banque de la victime (appelé spoofing) ou appellent avec un numéro loué commençant soit par 09 soit par 01.86 (numéro de standard pour des petites entreprises).

Dans leur discours, quand ils utilisent l’usurpation de numéro, ils vous demandent de vérifier le numéro sur Internet pour « prouver » que ce numéro est le numéro original de la banque.

Méfiez-vous des appels téléphoniques

Dans une enquête où une victime habitait en province dans une petite ville, l’escroc connaissait son agence de domiciliation du compte ainsi que le nom de sa conseillère clientèle. La victime a donc été en totale confiance et s’est rendue compte qu’elle s’était fait escroquer que quelques jours après, une fois qu’elle a eu sa vraie conseillère au téléphone.

Un conseil si vous recevez ce genre d’appel. Il faut raccrocher et rappeler le numéro de sa banque. Il faut composer soit même le numéro et nom se servir de l’historique du téléphone. Le mieux est de se déplacer directement à son agence. Les escrocs appellent le plus souvent le soir ou le week-end, ils font « paniquer » la victime et disent agir dans l’urgence.

Un autre conseil, le personnel de la banque ne vous demandera jamais de code ou d’accès à votre application. Avec ses accès à lui, il n’a pas besoin de vous demander quoique se soit pour avoir accès et visualiser votre compte.

A savoir, les banques refusent dans la plus grande majorité du temps à rembourser les victimes. A leurs yeux, cela est une négligence du client et n’engage donc pas sa responsabilité. Très peu de victimes ont été remboursées.

Ce type d’escroquerie entraîne des milliers voir des millions d’euros de préjudice.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.