La console PlayStation 5 a été mise en vente en novembre dernier, mais il y a encore beaucoup de clients qui sont restés les mains vides. Sony, faisant face à une pénurie de puces à cause des restrictions liées à la COVID, n’arrive pas à suivre la demande. Pendant ce temps, les escrocs profitent de la situation et de cet engouement en donnant l’opportunité de gagner une PS5.
Une entreprise pharmaceutique propose de gagner une PS5
Comme pour la plupart des cas d’hameçonnage, un regard attentif montre qu’il y a anguille sous roche. Par exemple, même si l’e-mail d’hameçonnage de cette campagne ne contient pas d’erreurs flagrantes, le nom de l’expéditeur – dans ce cas India Pharma, une véritable entreprise – n’est affilié à aucun jeu concours.
Ce qui est également suspect, c’est que les conditions générales (le texte écrit en tout petit en bas du message que la plupart des gens ne lisent pas) mentionnent une entité totalement différente : toleadoo GmbH, qui existe aussi. Elle se trouve en Allemagne et fait l’objet de nombreuses plaintes d’utilisateurs.
Ce texte en petits caractères mentionne également les « conditions générales du concours », mais aucun lien n’y renvoie. Là encore, nous recherchons les éléments qui peuvent paraître douteux, et les incohérences dans le langage juridique sont très suspectes.
Dans tous les cas, afin que vous tentiez votre chance, les organisateurs vous demandent de fournir votre adresse mail.
L’étape suivante ouvre un site Web qui affiche le logo d’Amazon bien que l’URL de la page ne ressemble en rien à amazon.com.
Cette dernière accentue la pression en annonçant que vous êtes l’un des dix chanceux de cette semaine, qui peut gagner la console tant convoitée, mais pour cela vous devez agir dans la minute et 18 secondes qui suivent, soit le temps nécessaire pour compléter le questionnaire et s’inscrire au tirage au sort. Cet exemple est une tactique d’hameçonnage assez efficace car elle augmente la pression par le biais d’un faux temps limite, ce qui fait que les gens paniquent et se précipitent au lieu de prendre le temps et de mieux analyser la situation.
La roue de la fortune
Si vous remplissez le questionnaire et jetez un coup d’œil aux boîtes, une dizaine d’autres boîtes-cadeaux apparaissent à l’écran, et l’une d’elles est la gagnante. Spoiler : vous avez gagné le prix ! Vous n’y croyez pas ? Et bien juste en dessous se trouvent de faux commentaires de précédents « gagnants » afin d’alimenter votre enthousiasme et que vous baissiez votre vigilance.
L’arnaque commence maintenant. Un paiement de 1 livre sterling (environ 1,20 € au moment de la rédaction de cet article) est nécessaire pour réclamer le prix. Les organisateurs ne donnent aucune raison pour justifier le paiement, mais comparé au prix de la console, ce n’est rien du tout. De plus, ils s’engagent à couvrir tous les frais de port et de livrer la fameuse PS5 en une semaine seulement.
Ils demandent ensuite une adresse, un code postal, un numéro de téléphone, et (de nouveau) une adresse mail – ce qui parait normal pour recevoir le gain. Cependant, à ce stade-là, le prix n’est plus de 1 £ mais est monté à 1,78 £, et là encore, sans aucune explication.
La dernière étape est de fournir les données bancaires. La mirobolante somme de 1,78 £ ne rendra pas les cybercriminels riches, mais les données de votre carte bancaire si, et notamment le code CVV2/CVC2.
Gardez la tête froide
Afin d’éviter ces pièges, ne vous fiez pas à l’engouement. Si vous recevez une offre tentante, gardez la tête froide et suivez toujours les recommandations suivantes pour vous prémunir contre l’hameçonnage :
- Vérifiez les informations à propos du concours et des autres offres sur la page Web des organisateurs ;
- Ne cliquez pas sur les liens dans les e-mails. Entrez l’URL vous-même si vous la connaissez, ou bien utilisez un moteur de recherche pour vous y rendre (après vous être assuré que le lien n’était pas une publicité) ;
- Faites très attention si recevoir le prix exige que vous payiez une certaine somme, même si elle est infime. Vous risquez de perdre plus que juste le montant demandé;
- Protégez soigneusement vos données personnelles et si vous avez ne serait-ce qu’un doute à propos d’un site Web, ne saisissez pas vos coordonnées ;
- Utilisez une solution de sécurité fiable qui vous avertit quand vous êtes sur le point d’ouvrir un site Web frauduleux.