Prenez garde à l’usurpation de vos e-mails

Le 10 juillet 2021, une enquête, débutée il y a plus d’un an après de multiples plaintes, a débouché sur l’arrestation de seize personnes à travers toute l’Espagne. Les prévenus sont détenus pour des délits présumés de fraude et d’appartenance à une cellule criminelle. La « Guardia Civil » a démantelé un réseau d’escroqueries sur Internet qui usurpaient l’identité de la direction générale de la circulation (DGT) et de la Poste entre autres.

L’opération « Aguas Vivas » de la Guardia Civil (NDLR L’équivalent de Gendarmerie en France) à triompher d’une entente de malfaiteurs dédiée à la réalisation de malversations sur Internet. Cette opération a permis l’arrestation de 16 personnes dans diverses villes de la péninsule Ibérique. Elles ont été effectuées à Ribeira (La Corogne), Madrid, Parla et Móstoles (Madrid), Seseña (Tolède), Villafranca de los Barros (Badajoz) et Aranda de Duero (Burgos) pour les délits présumés d’escroquerie et d’appartenance à une organisation criminelle. Ils recouraient à la technique dite de spoofing (techniques d’usurpations d’adresses courriels), selon les forces de l’ordre espagnoles. L’agence nationale de la sécurité des systèmes d’information (ANSSI) la définit de par l’ : « Action malveillante qui consiste à utiliser délibérément l’adresse d’un autre système en lieu et place de la sienne. »

Les gendarmes de l’Internet ajoutent qu’il faut rapprocher cette action de l’usurpation d’identité, considérée comme un délit par le droit pénal français. L’idée est de faire passer son système d’information pour un autre. L’adresse usurpée peut être une adresse MAC (Media Access Control), une adresse IP (Internet Protocol), une adresse de messagerie, etc.

Une organisation criminelle structurée et hiérarchisée

Les escrocs présumés auraient installé un « logiciel » malveillant sur l’ordinateur de leurs multiples victimes en utilisant cette technique de spoofing. C’est-à-dire l’envoi frauduleux d’e-mails à travers lesquels les attaquants supplantaient l’identité d’organismes tels que l’Agence des impôts, le Trésor public, la DGT ou encore la Poste. Il leur était demandé de régler des dettes fiscales, de payer des amendes routières ou de récupérer des colis… pour lesquels ils devaient ouvrir un lien contenu dans le courriel reçu, pour en connaître les détails. En cliquant sur ledit lien, une redirection s’opérait à une adresse, ou à une page Web où le programme malveillant était téléchargé et installé, en arrière-plan. Ils auraient ainsi réussi à détourner, vers leurs comptes, d’importantes sommes d’argent, rapporte le communiqué de la Guardia Civil.

L’association était parfaitement structurée et hiérarchisée, en quatre niveaux. D’une part, il y avait ceux qui se consacraient à recevoir les montants des transferts frauduleux (niveau 1), qui étaient ensuite transmis à d’autres membres de l’organisation (niveau 2). D’autre part, il y a ceux qui ont déplacé l’argent vers de nouveaux comptes situés à l’étranger (niveau 3) et, enfin, ceux qui ont masqué le fonctionnement en ligne des comptes (niveau 4).

3, 5 millions d’euros ont été bloqué par l’opération de police

Une fois installé sur le terminal, il restait en sommeil, jusqu’au moment où l’utilisateur accédait à n’importe quel site Web de sa banque et exécutait une transaction financière. À cet instant, le code malveillant interceptait et modifiait les données émises, de sorte que les bénéficiaires des opérations fiduciaires soient les 30 comptes bancaires appartenant au réseau criminel. Ensuite, l’argent a été dispatché sur d’autres comptes, ou extrait du circuit par des retraits d’espèces dans des distributeurs automatiques de billets (DAB), des transferts BIZUM, des cartes REVOLUT, etc., afin de noyer les recherches d’une éventuelle enquête de police.

Les forces de l’ordre, en collaboration avec le département informatique du Conseil provincial de Cáceres, ont détecté une activité suspecte dans des comptes de messageries. C’est au sein de 68 de ces derniers, appartenant à des organismes officiels, que les enquêteurs découvraient l’infection par les chevaux de Troie « Mekotio » et « Grandoreiro ». Ils étaient en attente d’effectuer les opérations délictueuses. Les agents ont réussi à bloquer des tentatives de transfert pour un montant de 3 500 000 euros, après avoir analysé plus de 1 800 courriels. En outre, 20 délits de fraude ont été élucidés pour un total fraudé de 276 470 euros, dont ils ont pu être récupérés 87 000 euros.

Conduites à tenir

« En dépit de mécanismes additionnels et correctement utilisés, les courriels ne garantissent en rien l’authenticité d’un émetteur et encore moins l’intégrité d’un courriel », martèle un œil averti. C’est en cela que l’ANSSI exhorte tout un chacun à adopter cinq réflexes. Avec en préambule un conseil avisé : « N’importe qui peut vous envoyer un courriel en se faisant passer pour un autre ! Cela n’est pas beaucoup plus compliqué que de mettre un faux nom d’expéditeur au verso d’une enveloppe. N’ayez pas une confiance aveugle dans le nom de l’expéditeur ». Le premier demeure dans le fait d’être attentif à tout indice qui initierait le doute quant à l’origine réelle du mail. « Vous devez admettre que dans le domaine de la messagerie électronique, il n’existe pas d’expéditeur a priori de confiance », appuie l’agence nationale. Puis se méfier des pièces jointes, en ayant votre antivirus activé et à jour, mais pas seulement. Dans le cas d’un comportement anormal, exigez qu’un professionnel contrôle votre poste. Les demandes de confirmations d’informations confidentielles (mots de passe, code PIN, coordonnées bancaires…) ne s’effectuent pas via un courriel. En cas d’incertitude, il suffit de requérir auprès du correspondant la reconnaissance de sa demande, bien sûr par le biais d’un nouveau, et non en répondant à celui reçu (phishing).

Une technique plus simple qu’il n’y parait avec votre souris. Il suffit de passer cette dernière au-dessus du lien et observer l’adresse de renvoi. Si l’adresse vous dirige et pointe donc vers le site mentionné dans le courriel. « De manière générale, il est préférable de saisir manuellement l’adresse dans le navigateur. » Enfin, le dernier et pas le moindre, configurer correctement votre logiciel de messagerie. « Il faut conserver vos logiciels à jour, si possible en activant la procédure de mise à jour automatique. Puis paramétrer votre logiciel de messagerie pour désactiver la prévisualisation mécanique des courriels. Dans les paramètres de sécurité en options, interdisez l’exécution systématique des ActiveX, des plug-ins et les téléchargements, soit en les désactivant, soit en imposant de vous en demander l’autorisation. Enfin, dans un environnement sensible, lisez tous les messages au format texte brut », conclut l’agence nationale de la sécurité des systèmes d’information.