Les utilisateurs d’applications de paiement ciblés par des attaques d’ingénierie sociale

Phone call

Les cybercriminels tentent d’inciter les utilisateurs américains d’applications de paiement numérique à effectuer des transferts d’argent instantanés dans le cadre d’attaques d’ingénierie sociale en utilisant des SMS avec de fausses alertes de fraude bancaire.

L’avertissement, publié jeudi par le Federal Bureau of Investigation en tant qu’annonce d’intérêt public, indique que les attaquants appelleront les victimes qui répondront à leurs messages de phishing à partir de numéros de téléphone usurpant le numéro d’assistance 1-800 légitime des banques.

« Sous prétexte d’annuler le faux transfert d’argent, les victimes sont amenées à envoyer des paiements sur des comptes bancaires sous le contrôle des cyber-acteurs », a déclaré le FBI.

Les fausses alertes de fraude font référence au montant du paiement et aux noms des institutions financières et demandent aux cibles de confirmer si elles ont essayé d’effectuer des paiements instantanés de milliers de dollars.

Si les destinataires répondent au SMS de phishing et nient avoir effectué un tel paiement, ils recevront un deuxième SMS indiquant qu’ils seront contactés « sous peu ».

Les escrocs appellent comme promis, parlent généralement anglais sans accent et prétendent représenter le service de fraude bancaire de la cible.

Les victimes ont demandé d’annuler les faux paiements

L’objectif final est d’amener les victimes à « annuler » la fausse transaction de paiement instantané en leur demandant de supprimer leur adresse e-mail de l’application de paiement et de la joindre à celle sous le contrôle des attaquants.

« L’acteur, après avoir demandé l’adresse e-mail de la victime, l’ajoute à un compte bancaire contrôlé par l’acteur. Une fois l’adresse e-mail modifiée, l’acteur dit à la victime de commencer une autre transaction de paiement instantané pour elle-même qui annulera ou inversera la tentative originale de paiement frauduleux », le FBI expliqué.

« Croyant qu’elles s’envoient la transaction à elles-mêmes, les victimes envoient en fait des transactions de paiement instantanées de leur compte bancaire au compte bancaire contrôlé par l’acteur. »

Les échanges entre les fraudeurs et leurs victimes peuvent durer plusieurs jours, montrant la détermination des escrocs à réussir leur attaque d’ingénierie sociale.

Le FBI a également partagé une liste de précautions que les Américains utilisant des applications de paiement numérique doivent connaître pour éviter d’être victimes de l’une de ces escroqueries :

  • Méfiez-vous des demandes non sollicitées de vérification des informations de compte. Les cyberacteurs peuvent utiliser des adresses e-mail et des numéros de téléphone qui peuvent alors sembler provenir d’une institution financière légitime. Si un appel ou un SMS est reçu concernant une éventuelle fraude ou des transferts non autorisés, ne répondez pas directement.
  • Si une demande non sollicitée de vérification des informations de compte est reçue, contactez le service des fraudes de l’institution financière via des numéros de téléphone et des adresses e-mail vérifiés sur les sites Web ou la documentation officiels de la banque, et non via ceux fournis dans les SMS ou les e-mails.
  • Activez l’authentification multifacteur (MFA) pour tous les comptes financiers et ne fournissez pas de codes ou de mots de passe MFA à qui que ce soit par téléphone.
  • Comprenez que les institutions financières ne demanderont pas aux clients de transférer des fonds entre les comptes afin d’aider à prévenir la fraude.
  • Méfiez-vous des appelants qui fournissent des informations personnellement identifiables, telles que des numéros de sécurité sociale et des adresses passées, comme preuve de leur légitimité. La prolifération des violations de données à grande échelle au cours de la dernière décennie a fourni aux criminels d’énormes quantités de données personnelles, qui peuvent être utilisées à plusieurs reprises dans une variété d’escroqueries et de fraudes.