« Les arnaques à l’assistance technique ont bondi de 24 % l'an dernier », a déclaré Microsoft. L’entreprise estime qu’à chaque fois, les victimes se font escroquer de 200 à 400 dollars. « Ces arnaques ont pour but de faire croire aux utilisateurs que leurs machines ont été compromises ou qu’elles ont un problème quelconque et de les effrayer pour les contraindre à acheter de faux services d’assistance », a déclaré la semaine dernière Erik Wahlstrom, responsable du projet de recherche Windows Defender, dans un blog de Microsoft. Son message a été posté après sa présentation sur les programmes de support faite le même jour à la conférence RSA (16 au 20 avril) de San Francisco.
En 2017, Microsoft a reçu 153 000 alertes de clients victimes d'escroqueries, en augmentation de près de 25 % par rapport à l'année précédente. Et environ 15 000 d’entre eux - soit quasiment 1 sur 10 - ont admis qu'ils avaient perdu de l'argent. D’après les données fournies par Erik Wahlstrom, on peut estimer que les clients de Microsoft ont versé entre 3 et 6 millions de dollars à des criminels. Et ce montant ne tient compte que des alertes remontées à Microsoft. « Comme c’est souvent le cas dans les attaques d'ingénierie sociale, il est difficile d’établir un décompte exact des escroqueries », a déclaré M. Wahlstrom. « Les arnaques au support technique ciblent aussi les utilisateurs d’autres périphériques, d’autres plates-formes ou d’autres logiciels et le problème dépasse largement la sphère des utilisateurs de Microsoft ».
Des arnaques très lucratives
Le plus souvent, les arnaques au support technique sont basées sur des appels téléphoniques impromptus : les faux « techniciens » composent des numéros en espérant que quelqu'un décroche. Mais la répétition des appels et l'attention suscitée ont fini par épuiser la tactique. Si bien que les arnaqueurs utilisent désormais d'autres canaux, comme le courrier électronique, des sites malveillants maquillés en vrais sites de services de sécurité, ou la propagation de malwares dont le but est de voler les individus, sans oublier les attaques par ransomwares. Mais quel que soit le vecteur, tous ont le même objectif : diriger la victime potentielle vers un centre d'appels. Là, un prétendu technicien, qui se fait souvent passer pour un représentant de Microsoft, de Symantec ou d’une autre entreprise technologique connue, essaye de faire croire à la victime que son ordinateur est infecté. À partir de ce moment-là, l'arnaqueur du centre d'appels essaye de convaincre l’utilisateur - particulier ou salarié d'entreprise - de télécharger un logiciel ou d’autoriser un « technicien » à accéder à son PC à distance. Pour finir, le fraudeur facture son « aide » ponctuelle, lui vend des abonnements à de faux services d’assistance ou charge du code sur la machine dont il a obtenu le contrôle.
Globalement, l’arnaque est très lucrative. Selon un avis publié fin mars par le service de plaintes Internet Crime Complaint Center du FBI, l’an dernier, les pertes résultant de ces arnaques ont atteint près de 15 millions de dollars, en augmentation de 86 % par rapport à l'année précédente. Toujours selon le FBI, les escrocs balayent de plus en plus large. « Les criminels ont commencé à se faire passer pour des agents du gouvernement, proposant même de récupérer des données soit disant perdues après de prétendues interventions techniques frauduleuses », a déclaré l'agence fédérale. « Dans des plaintes récentes, les criminels se sont fait passer pour des représentants du support technique d’entreprises de services GPS, de revendeurs d’imprimantes, ou d’opérateurs télécom, voire même pour des agents de change de devises virtuelles ». Cette dernière fonction pourrait s’avérer particulièrement profitable pour les escrocs. « Quand les victimes composent le numéro du support technique virtuel - trouvé sur le Web via un moteur de recherche - elles sont mises en contact avec un centre d'appels. Là, un représentant demande l'accès au « portefeuille » de l'appelant, et transfère la monnaie virtuelle vers un autre portefeuille », a expliqué le FBI. « Le représentant prétend que ce transfert est temporaire, le temps de l’opération de maintenance. Mais, la victime ne récupère évidemment jamais son argent ».
« Tôt ou tard, tous les canaux d’arnaques redirigent vers un centre d'appels où des « techniciens » arrogants essaient de vendre de faux services aux victimes et volent leur argent ». (Crédit : Microsoft)
Dans la série de diapositives PowerPoint que Erik Wahlstrom a montrées pendant sa conférence - la vidéo n'était pas disponible - celui-ci affirmait que même si Microsoft pouvait détecter une escroquerie en cours, et même si l’entreprise pouvait repérer du code JavaScript utilisé par un site frauduleux ou une incitation de paiement en ligne, la solution n’était peut-être pas, du moins à ce moment-là, d’avertir la victime potentielle. « Envoyer des notifications, ce n’est vraiment pas la chose à faire » ou « Les gens ne veulent pas être informés » ou encore « Nous pouvons bloquer le site, mais est-ce à nous de le faire ? », peut-on lire sur les diapositives de l’intervenant. Dans le message posté sur le blog de Microsoft, Erik Wahlstrom estime que ce problème requiert l'attention de tous les acteurs. « En plus d’une éducation des clients, l'ampleur et la complexité des escroqueries en matière de support technique exigent une coopération et de vastes partenariats à l'échelle de l'industrie », a-t-il déclaré. « Il est grand temps que l'industrie s’entende sur une parade commune et mette fin aux arnaques au support technique ».