Des fuites de données de toutes sortes sont régulièrement signalées. Récemment, nous avons aussi assisté à la condamnation à des sociétés responsables à payer des amendes, dont certaines se comptent en milliards d’euros. Si les entreprises doivent payer suite aux fuites de données, une partie de l’argent doit revenir aux victimes, non ?
Une surprise de l’US Trading Commission
Un site internet étrange a récemment attiré notre attention. Il semble appartenir à un certain « Fonds de protection des données personnelles », et la page principale du site indique que le fonds a été créé par l’US Trading Commission.
A première vue, le site semble crédible, avec un design sobre qui montre une somme importante sur la droite. Une grande bannière en haut de la page annonce que le fonds accorde une compensation pour les fuites de données personnelles pour laquelle les citoyens de n’importe quel pays du monde peuvent faire une demande.
Le site propose de vérifier aux personnes intéressées si leurs données ont déjà fait l’objet d’une fuite. Pour cela, vous devez indiquer vos nom, prénom, numéro de téléphone et comptes sur les réseaux sociaux. Un avertissement au-dessus du formulaire de saisie spécifie que la saisie de données d’autres personnes entraînera une sanction sévère.
Cependant, il s’avère que le site internet accepte toutes les informations, y compris le charabia. Nous nous sommes par exemple renseignés sur les données personnelles d’un citoyen nommé fghfgh fghfgh. Le site nous a fait patienter pendant un certain temps, pendant lequel il semblait se connecter à une base de données d’informations sur les fuites…
…et attention : notre personnage fictif au nom imprononçable a apparemment vraiment été victime d’une fuite de données ! Il semblerait même que quelqu’un avait déjà utilisé ses photos, ses vidéos et ses coordonnées, et fghfgh avait donc droit à une compensation de plus de 2 500 $ !
Acheter un SSN temporaire
On pourrait s’imaginer qu’il suffirait de donner un numéro de carte bancaire et d’attendre que le paiement soit crédité. Ça ne se passe pas vraiment comme ça. Ce fonds charitable ne peut pas envoyer d’argent sans connaître votre SSN (numéro de sécurité sociale), un numéro à neuf chiffres délivré aux citoyens des États-Unis ainsi qu’aux résidents permanents et temporaires qui y travaillent.
Ce numéro unique est utilisé pour presque tout aux États-Unis : payer des impôts, postuler à un emploi, louer une maison, etc.
Mais si vous n’en avez pas, pas de souci : Vous pouvez simplement cocher la case à côté de la ligne « I’am don’t have SSN » (ces escrocs n’ont pas l’air de maîtriser la langue de Shakespeare à la perfection !).
Pour contourner le problème de l’absence de SSN, le site vous propose de vous en vendre un temporairement ! En comparaison avec le montant de la compensation que vous avez devant les yeux, 9 $ est un prix dérisoire.
Si vous essayez de réaliser le virement sans acheter un SSN, le site renverra une erreur et vous demandera un numéro temporaire. Et si vous spécifiez un SSN valide dans le formulaire frauduleux, il vous sera quand même demandé d’acheter un SSN temporaire.
Ceux qui décident d’acheter un SSN temporaire sont redirigés vers un formulaire de paiement. Si vous le faites à partir d’une adresse IP russe, ce formulaire de paiement apparaît en russe, et le prix d’achat est spécifié en roubles. Voilà qui est étrange. Pourquoi une agence gouvernementale américaine exigerait-elle un paiement dans une devise étrangère ?
Les résidents d’autres pays sont susceptibles d’être redirigés vers un formulaire en anglais moins suspect demandant un paiement en dollars.
Les escrocs en ligne russes sont-ils en train de s’exporter à l’international ?
Bien sûr, il s’agit d’une escroquerie. Le Fonds de protection des données personnelles n’existe pas, pas plus que l’US Trading Commission, comme vous avez pu le deviner. Le nom de la véritable organisation que les escrocs tentent apparemment de se faire passer ici est la Federal Trade Commission, mais la FTC ne distribue pas d’indemnités sans justification.
Les escrocs eux-mêmes sont très probablement russophones, comme le suggère le formulaire de paiement en roubles, et la similarité suspecte de ce système avec d’autres offres d’argent facile qui tentent régulièrement d’apâter les résidents de Russie et de la CEI.
L’appât de ce type de démarches varie : cadeaux, enquêtes, comptes d’épargne-retraite secrets, et même un travail à temps partiel en tant que répartiteur de taxis, mais les sites sont généralement en russe (comme certains des liens ci-dessus). Le principe reste toujours le même : la promesse d’une quantité intéressante d’argent facile, suivie d’une demande de paiement pour un service bon marché, présenté comme une commission, un paiement de « garantie » ou un SSN temporaire.
Cette combine utilise les mêmes systèmes de paiement que les précédents. Elle évoque donc la panoplie des cybercriminels russes. La seule différence avec de cette escroquerie, c’est la géographie plus large de l’attaque. Cette fois-ci, les victimes se trouvaient non seulement en Russie et dans les pays voisins, mais aussi en Algérie, en Égypte, aux Émirats arabes unis et ailleurs.
Comment éviter de tomber dans le piège
Ces arnaques visent des victimes naïves qui ne trouveront pas l’offre suspicieuse. Notre conseil principal est de rester vigilant :
· Ne faites pas confiance aveuglément. Si quelqu’un vous promet un gros versement pour quelque chose d’aussi trivial que de participer à un sondage, c’est presque certainement un escroquerie. Et si on vous demande de payer quelque chose pour obtenir les fonds, vous pouvez être doublement certain qu’il s’agit d’une arnaque.
· Vérifier. Google l’organisation pour voir si elle existe réellement, et si c’est le cas, examinez attentivement son site internet. Faites attention au langage : une organisation de bonne réputation ne publiera pas un texte plein d’erreurs et de fautes de frappe.
· Utilisez des ressources de confiance. Si la sécurité de vos données vous inquiète, et en particulier les mots de passe, vous pouvez vérifier si vous avez été affecté par une fuite sur haveibeenpwned.com. Créé par Troy Hunt, expert en sécurité informatique, cet outil de recherche sur les atteintes à la protection des données fournit les informations les plus actualisées sur les fuites de données.
· Protégez-vous. Utilisez une solution antivirus fiable vous protégeant contre le phishing et la fraude en ligne telle que Kaspersky Internet Security.