Un système de fraude médicale inquiétant commence à apparaitre

Un système de fraude médicale sophistiqué a été observé dans plusieurs régions du globe, où des cybercriminels se font passer pour des employés d’hôpitaux et cliniques locales. Ils incitent les citoyens à installer une application mobile sous prétexte de faciliter des rendez-vous médicaux, accédant ainsi à leurs données confidentielles.

ZATAZ a repéré plusieurs alertes rapportant un type de fraude, axé sur des enregistrements fictifs pour des examens médicaux. L’arnaque a pris de l’ampleur ces derniers mois dans certaines parties du globe. Les pirates appellent les citoyens en se présentant comme des représentants d’établissements médicaux, affirmant que la personne peut obtenir un rendez-vous rapide pour des examens souvent difficiles d’accès.

Point clé : la confiance envers des institutions médicales est exploitée pour déclencher l’installation d’une application malveillante.

Lorsque l’utilisateur accepte, il est dirigé vers le téléchargement d’une application mobile soi-disant créée par le ministère de la Santé local. Une fois l’application installée, les cybercriminels obtiennent un accès complet aux données de l’appareil, y compris les comptes bancaires en ligne et les portails de services gouvernementaux, leur permettant ainsi de dérober des informations sensibles et de l’argent. Les outils pirates sont de types InfoStealer ou cheval de Troie (RAT).

Bien que les hôpitaux puissent appeler les patients pour organiser des rendez-vous ou suggérer un examen médical, ils ne demanderont jamais le téléchargement d’une application ni des informations personnelles telles que des codes de confirmation SMS par exemple (2FA, MFA).

Pour comprendre l’ampleur de cette arnaque, il est important de se pencher sur le profil des victimes et les méthodes employées par les escrocs. Les cibles de cette fraude sont généralement des personnes âgées ou des individus peu familiers avec les technologies numériques. Les cybercriminels jouent sur la crédibilité et la confiance en se faisant passer pour des professionnels de santé, ce qui rend la tromperie particulièrement efficace.

Les vraies institutions médicales se limitent à proposer des dates et heures de rendez-vous ou à orienter vers le portail des services officiels.

Un autre aspect préoccupant est l’illusion de légitimité renforcée par l’utilisation d’une application prétendument officielle. Les escrocs n’hésitent pas à concevoir des interfaces graphiques imitant fidèlement les applications institutionnelles pour berner les utilisateurs. Une fois l’application installée, elle peut demander des autorisations excessives, permettant aux attaquants de prendre le contrôle de diverses fonctionnalités du téléphone. Ce genre de fraude/clone se croise trés fréquemment dans le phishing comme l’exemple de ZATAZ, ci-dessous, datant du week-end du 11 novembre.

Service veille ZATAZ : nous cherchons vos données piratées

ZATAZ cherche pour vous toutes les infos perdues, volées, piratées, et pas que vos mots de passe !

Les implications pour la cybersécurité

L’accès aux données bancaires et aux portails des services gouvernementaux n’est pas seulement une violation de la vie privée, mais il peut également entraîner des pertes financières importantes. Les victimes peuvent se retrouver avec des comptes bancaires vidés et leurs informations personnelles utilisées pour commettre d’autres fraudes. La facilité avec laquelle les attaquants parviennent à tromper leurs cibles démontre l’importance de sensibiliser le grand public aux risques liés aux applications téléchargées en dehors des plateformes officielles. ZATAZ vous expliquait, en mai 2024, comment une arnaque du même acabit avait visé des patients via un « simple » appel téléphonique.

Les experts recommandent de suivre quelques bonnes pratiques pour se protéger de ce type de fraude :

  1. Ne jamais télécharger d’applications à partir de liens envoyés par SMS ou e-mail. Se rendre uniquement sur les boutiques d’applications officielles.
  2. Vérifier l’identité de l’appelant. Les institutions médicales ne demandent jamais de télécharger des applications ou de fournir des informations sensibles par téléphone.
  3. Être vigilant face aux demandes d’autorisation. Une application qui demande un accès aux données personnelles ou bancaires doit être suspectée.

Témoignages et réactions

Certaines personnes ayant failli être victimes de cette fraude témoignent de leur expérience. « J’ai reçu un appel très convaincant d’une personne prétendant être une infirmière de mon centre médical local. Elle m’a dit que je pouvais bénéficier d’un examen prioritaire en téléchargeant une application, ce qui m’a tout de suite semblé étrange« , raconte une utilisatrice.

Bien que ce type de fraude n’ait pas encore été signalé en France, en Europe ou au Québec, la vigilance reste de mise. Pour rester informé des dernières menaces de cybersécurité et des meilleures pratiques de protection, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de ZATAZ.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. sven Reply

    Tu parles de doctolib ? 🙂

    • Damien Bancal Reply

      Bonjour,

      Si nous avions parlé d’une entreprise spécifique ciblée par ce type d’attaque, nous l’aurions mentionnée.

      L’article précise que cette escroquerie n’a pas encore été officiellement signalée sur les territoires cités.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.