Même un ingénieur informatique peut tomber dans le piège des hackers : « Tout semblait parfait »

Image

Stefano a travaillé dans le secteur de la technologie pendant des années, et pourtant il est tombé dans le piège. Les cybercriminels ont d’abord volé ses mots de passe, puis ont ouvert un compte en son nom et ont finalement modifié le numéro en se faisant passer pour la banque pour transférer l’argent.

Image

Stefano est un développeur informatique, il programme des logiciels depuis 15 ans. Le 21 janvier, il reçoit un message de sa banque, l’informant d’une tentative de paiement suspecte en Albanie. C’est ainsi que la fraude commence. « Je suis tombé dedans, malgré mon travail, malgré mes compétences dans le domaine. Ils ont déjà essayé de me voler des mots de passe ou de se connecter à mon compte en banque, et je m’en suis toujours rendu compte. Mais cette fois-ci… cette fois-ci, tout était parfaitement orchestré« , raconte Stefano à Netcost-security.fr. Les fraudes sont de plus en plus sophistiquées, au point de piéger même un développeur informatique, comme le montre l’histoire de Stefano.

L’appel arrive le 21 janvier, mais la fraude a commencé plus tôt « quand ils ont installé un logiciel malveillant sur mon ordinateur et ont obtenu tous mes mots de passe ». Les criminels ouvrent un compte bancaire en son nom, simulent un paiement suspect en Albanie, puis ils appellent Stefano en modifiant le numéro de téléphone et en se faisant passer pour un opérateur de sa banque (cette technique s’appelle le « spoofing d’identifiant d’appelant » et permet aux criminels de manipuler les numéros en se faisant passer, comme dans ce cas, pour une institution bancaire).

« Je suis les indications, d’ailleurs ce n’était pas la première fois que je déplaçais de l’argent, j’ai toujours suivi cette procédure avec ma banque donc je ne me suis pas méfié ». Cependant, le montant est transféré sur un faux compte au nom de Stefano. La fraude est alors commise. « Sur papier, c’est comme si j’avais été volé par moi-même ».

Revenons au début. Que s’est-il passé ?

J’étais à Florence avec ma femme, nous étions en train de déjeuner, et à un moment donné je reçois un SMs de ma banque, qui me dit qu’il y a eu une tentative de paiement de 500 euros pour un hôtel en Albanie. Il est également écrit : « Le service clientèle vous contactera sous peu ». Et effectivement, après cinq minutes, mon téléphone sonne, et c’est un appel de ma banque, et c’était le numéro de la banque.

L’avez-vous enregistré dans votre téléphone ?

Oui, je l’ai enregistré dans mes contacts. Je précise aussi autre chose, la semaine précédente, j’avais commencé à recevoir des messages et des e-mails étranges disant « échec de la connexion ».

Comme si quelqu’un essayait d’accéder à vos comptes ?

Exactement, mais sur le moment je n’y ai pas prêté attention.

Revenons à l’appel.

On me dit qu’ils ont détecté cette tentative de paiement suspecte en Albanie, étant donné que ma dernière transaction a eu lieu à Florence. Et ils me demandent si je veux l’approuver. Et bien sûr, je dis que non.

Et lui ?

Il me dit que mon compte est compromis et qu’ils vont changer mon mot de passe pour des raisons de sécurité. Ils me disent également qu’il serait préférable de transférer l’argent vers un autre IBAN.

Vous êtes-vous déjà retrouvé dans une situation similaire avec votre banque ?

Oui, c’est pourquoi je ne me suis pas méfié. Pendant l’appel, nous décidons donc d’ouvrir ce compte supplémentaire, et pour ce faire, ils me demandent l’Otp (un mot de passe à usage unique composé d’un code alphanumérique) et le mot de passe.

Vous n’avez remarqué aucun signe étrange alors ?

En réalité, si, car habituellement, lorsque je fais ce genre d’opérations, on me demande seulement quelques lettres et chiffres aléatoires de mon mot de passe, pas le mot de passe complet. Mais sur le moment, j’ai suivi les instructions. Une fois tout cela terminé, on me dit : « nous avons transféré une première somme, vous recevrez maintenant un e-mail avec le lien pour changer le mot de passe, lorsque vous l’aurez fait, transférez le reste sur le nouveau compte activé ».

Donc vous raccrochez et vous vous connectez à votre compte.

Je fais tout cela, je me connecte, je saisis l’Otp, et je vois qu’il manque de l’argent, exactement le montant que j’avais transféré.

En d’autres termes ?

Environ 2500 euros.

Qu’avez-vous fait quand vous vous en êtes rendu compte ?

J’ai immédiatement appelé le service clientèle, le vrai cette fois, et je les ai informés que j’avais été victime d’une fraude informatique. Le problème, c’est qu’ils ne pouvaient pas voir où ces fonds avaient été transférés.

Avez-vous porté plainte ?

Oui bien sûr, je suis allé chez les carabiniers et j’ai tout fait.

Qu’ont-ils dit ?

Qu’il était impossible de récupérer la somme, mais je le savais déjà, dans ces cas-là, ils parviennent rarement à retrouver les fraudeurs… Quoi qu’il en soit, deux jours plus tard, je suis retourné sur mon compte pour voir si je pouvais comprendre quelque chose à partir des opérations bancaires et j’ai vu que le transfert avait été effectué vers un IBAN que je ne connaissais pas. Je l’ai recherché sur Google pour voir s’il était réel ou faux, et éventuellement à qui il appartenait, et c’est là que les choses deviennent intéressantes.

Que voulez-vous dire ?

Je vois qu’il appartient à ma propre banque et ce qui est le plus inquiétant, c’est que dans l’historique des transactions, cela apparaît sur un autre compte à mon nom.

Comme si tout s’était déroulé comme prévu.

Oui, cette personne a enregistré un compte en banque en utilisant mes coordonnées, puis elle m’a appelé en se faisant passer pour le service clientèle afin d’obtenir le mot de passe et de transférer l’argent sur le faux compte.

Mais comment est-il possible d’ouvrir un compte au nom de quelqu’un d’autre ?

C’était possible parce que j’ai attrapé un logiciel malveillant appelé Lumma, les fraudeurs sont donc entrés dans mon ordinateur et ont pris tout ce qu’ils pouvaient, des documents, des mots de passe enregistrés, il était donc facile de créer une fausse identité et un nouveau compte bancaire à mon nom.

Et comment le logiciel malveillant a-t-il été installé ?

Je ne sais pas, mais c’est un logiciel malveillant courant sur Github, une plateforme pour les développeurs qui permet de créer, gérer et partager son propre code, j’y prends souvent les scripts pour mon travail.

Essayons donc de reconstituer l’histoire.

Tout d’abord, ils ont installé ce logiciel malveillant, ils ont pris tous mes mots de passe et ont créé ce faux compte en mon nom. Ensuite, ils ont falsifié le numéro de ma banque, m’ont appelé et m’ont demandé le mot de passe pour transférer l’argent. En réalité, c’est comme si j’avais été volé par moi-même.

Donc au total, vous avez perdu ?

Heureusement, seulement ces 2 500 euros, mais cela aurait pu être beaucoup plus, dès que j’ai compris ce qui se passait, j’ai changé les mots de passe et activé la vérification en deux étapes. Ce qui me rend vraiment en colère, c’est que je n’ai pas immédiatement remarqué la fraude, je veux dire que c’est mon travail, je ne suis jamais tombé dans le panneau, mais je dois dire qu’ils utilisent des techniques de plus en plus sophistiquées.

Assez sophistiquées pour piéger un développeur informatique.

Malheureusement, mon histoire le confirme.