Arnaques aux faux colis : pourquoi vos vieux réflexes ne suffisent plus

Author:

« Bonjour c’est le livreur, votre colis ne rentrait pas dans la boîte aux lettres. Merci de choisir un point relai. » Qui n’a jamais reçu ce genre de SMS ? La plupart des personnes ne se font pas avoir deux fois par ces campagnes de phishing (hameçonnage) par SMS, autrement appelé smishing.

Alors, comme l’arnaque est désormais bien assimilée par la plupart des possesseurs de téléphones, pour augmenter la crédibilité de leur piège, les escrocs font désormais appel à l’IA pour générer des images réalistes du colis à livrer.

L’arnaque va loin, car en plus de la photo ultra réaliste du paquet, son étiquette peut également afficher le nom du destinataire (en l’occurence la victime) et les logos du transporteur. En ajoutant cette dimension visuelle à une méthode somme toute classique et éprouvée, la personne qui reçoit ce genre de message ne lit plus seulement un SMS.


Lire l’article



Elle voit d’un coup d’œil le prétendu colis en question, comme s’il avait été pris en photo avec le smartphone du livreur. Pour ce qui est des données de personnalisation sur l’étiquette, elles sont vraisemblablement issues des fuites massives de bases de données. C’est ainsi que l’adresse postale et le nom de la personne peuvent être affichés.

Autopsie d’une arnaque

Si par précipitation et conviction que l’image est réelle, on tombe dans le panneau et que l’on active le lien, un site – copie conforme de celui du transporteur – s’affiche. Il vous incite à reprogrammer la livraison en vous demandant de régler entre un et trois euros. Lorsque la victime va plus loin en saisissant ses informations bancaires, l’auteur de l’arnaque les récupère. Il dispose désormais du numéro de carte bancaire, de sa date d’expiration, du cryptogramme visuel (CVV), du nom et de l’adresse. Le numéro de téléphone est déjà connu, mais la démarche vient valider qu’il appartient vraiment à la personne en question.


Lire l’article



À ce stade, les fraudeurs disposent déjà de suffisamment d’éléments pour tenter des paiements en ligne. Les données sont alors utilisées en priorité pour réaliser des achats rapides (cartes cadeaux, produits revendables) et tester la validité de la carte via de petites transactions. Le problème, c’est que ces opérations sont réalisées très vite, souvent dans les minutes qui suivent la saisie, avant que la victime ne bloque sa carte.

L’ajout d’images générées par IA illustre une logique d’escalade. À mesure que les utilisateurs apprennent à repérer les arnaques classiques, les cybercriminels enrichissent leurs techniques pour contourner les réflexes de vigilance. © Victor Baissait

Phishing augmenté

Mais comme il y a désormais des systèmes de double authentification, souvent par SMS ou en validant une notification de l’application bancaire, l’escroc va devoir aller plus loin. 

Les fraudeurs vont donc exploiter les données pour se faire passer pour la banque. Ils utilisent un faux numéro de téléphone identique à celui de la banque et avec les données obtenues, lors d’un appel téléphonique portant sur de prétendues questions de renforcement de la sécurité, ils vont pousser la victime à valider une opération bancaire en lui demandant un code SMS de double authentification pour valider leur achat ou via l’appli bancaire du téléphone.

Dans d’autres cas, les escrocs peuvent aussi inciter la victime à installer une application malveillante pour « prendre la main » sur le contenu de son smartphone et contourner les protections bancaires.


Lire l’article



Ce mécanisme transforme une simple fuite de carte en prise de contrôle transactionnelle complète. Par la suite, ces données bancaires et les informations personnelles de la victime sont revendues et utilisées pour d’autres campagnes.

Si la carte est bloquée rapidement, le mal est quand même fait, puisque les autres données sont venues enrichir les bases de données utilisées par ces cybercriminels pour mener leurs campagnes de phishing.

Pas besoin d’être un grand hacker pour réaliser ces larcins, les escrocs achètent des kits prêts à l’emploi avec des bases de données compromises. Des plateformes automatisent ensuite l’envoi de milliers de ces SMS frauduleux enrichis d’images par IA personnalisées.

Des arnaques à l’IA sur Vinted

Le problème, c’est que ce n’est que le début. La combinaison de textes personnalisés, d’images crédibles et de données issues de fuites pourrait donner naissance à des attaques quasi indiscernables du réel.

Outre cette nouvelle méthode de phishing augmenté, l’IA sert également à réaliser des escroqueries sur des plateformes de revente en ligne, comme Vinted. La dernière en date concerne des acheteurs qui génèrent de fausses photos de produits endommagés pour obtenir des remboursements. Comme ce sont également bien souvent des IA qui assurent le suivi des réclamations, l’automatisation rend difficile la résolution de ces litiges. De fait, le serpent de l’IA se mord un peu la queue.

Categories: HeadLine

Leave a Reply

Your email address will not be published. Required fields are marked *