Un système de fraude médicale inquiétant commence à apparaitre
Un système de fraude médicale sophistiqué a été observé dans plusieurs régions du globe, où des cybercriminels se font passer pour des employés d’hôpitaux et cliniques locales. Ils incitent les citoyens à installer une application mobile sous prétexte de faciliter des rendez-vous médicaux, accédant ainsi à leurs données confidentielles.
ZATAZ a repéré plusieurs alertes rapportant un type de fraude, axé sur des enregistrements fictifs pour des examens médicaux. L’arnaque a pris de l’ampleur ces derniers mois dans certaines parties du globe. Les pirates appellent les citoyens en se présentant comme des représentants d’établissements médicaux, affirmant que la personne peut obtenir un rendez-vous rapide pour des examens souvent difficiles d’accès.
Point clé : la confiance envers des institutions médicales est exploitée pour déclencher l’installation d’une application malveillante.
Lorsque l’utilisateur accepte, il est dirigé vers le téléchargement d’une application mobile soi-disant créée par le ministère de la Santé local. Une fois l’application installée, les cybercriminels obtiennent un accès complet aux données de l’appareil, y compris les comptes bancaires en ligne et les portails de services gouvernementaux, leur permettant ainsi de dérober des informations sensibles et de l’argent. Les outils pirates sont de types InfoStealer ou cheval de Troie (RAT).
Bien que les hôpitaux puissent appeler les patients pour organiser des rendez-vous ou suggérer un examen médical, ils ne demanderont jamais le téléchargement d’une application ni des informations personnelles telles que des codes de confirmation SMS par exemple (2FA, MFA).
Pour comprendre l’ampleur de cette arnaque, il est important de se pencher sur le profil des victimes et les méthodes employées par les escrocs. Les cibles de cette fraude sont généralement des personnes âgées ou des individus peu familiers avec les technologies numériques. Les cybercriminels jouent sur la crédibilité et la confiance en se faisant passer pour des professionnels de santé, ce qui rend la tromperie particulièrement efficace.
Les vraies institutions médicales se limitent à proposer des dates et heures de rendez-vous ou à orienter vers le portail des services officiels.
Un autre aspect préoccupant est l’illusion de légitimité renforcée par l’utilisation d’une application prétendument officielle. Les escrocs n’hésitent pas à concevoir des interfaces graphiques imitant fidèlement les applications institutionnelles pour berner les utilisateurs. Une fois l’application installée, elle peut demander des autorisations excessives, permettant aux attaquants de prendre le contrôle de diverses fonctionnalités du téléphone. Ce genre de fraude/clone se croise trés fréquemment dans le phishing comme l’exemple de ZATAZ, ci-dessous, datant du week-end du 11 novembre.
Les implications pour la cybersécurité
L’accès aux données bancaires et aux portails des services gouvernementaux n’est pas seulement une violation de la vie privée, mais il peut également entraîner des pertes financières importantes. Les victimes peuvent se retrouver avec des comptes bancaires vidés et leurs informations personnelles utilisées pour commettre d’autres fraudes. La facilité avec laquelle les attaquants parviennent à tromper leurs cibles démontre l’importance de sensibiliser le grand public aux risques liés aux applications téléchargées en dehors des plateformes officielles. ZATAZ vous expliquait, en mai 2024, comment une arnaque du même acabit avait visé des patients via un « simple » appel téléphonique.
Les experts recommandent de suivre quelques bonnes pratiques pour se protéger de ce type de fraude :
- Ne jamais télécharger d’applications à partir de liens envoyés par SMS ou e-mail. Se rendre uniquement sur les boutiques d’applications officielles.
- Vérifier l’identité de l’appelant. Les institutions médicales ne demandent jamais de télécharger des applications ou de fournir des informations sensibles par téléphone.
- Être vigilant face aux demandes d’autorisation. Une application qui demande un accès aux données personnelles ou bancaires doit être suspectée.
Témoignages et réactions
Certaines personnes ayant failli être victimes de cette fraude témoignent de leur expérience. « J’ai reçu un appel très convaincant d’une personne prétendant être une infirmière de mon centre médical local. Elle m’a dit que je pouvais bénéficier d’un examen prioritaire en téléchargeant une application, ce qui m’a tout de suite semblé étrange« , raconte une utilisatrice.
Bien que ce type de fraude n’ait pas encore été signalé en France, en Europe ou au Québec, la vigilance reste de mise. Pour rester informé des dernières menaces de cybersécurité et des meilleures pratiques de protection, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de ZATAZ.
Tu parles de doctolib ? 🙂
Bonjour,
Si nous avions parlé d’une entreprise spécifique ciblée par ce type d’attaque, nous l’aurions mentionnée.
L’article précise que cette escroquerie n’a pas encore été officiellement signalée sur les territoires cités.