Comment des messages de police crédibles peuvent induire en erreur ?

Ces e-mails sont même parfois signés par Eric Snoeck, commissaire général de la Police Fédérale, Michel Goovaerts, chef de corps de la zone de police de Bruxelles CAPITALE Ixelles, ou par des magistrats du parquet. Il s’agit toutefois, pour la plupart, d’e-mails d’hameçonnage envoyés par des cybercriminels. 

Pour clôturer notre campagne #SCAM, nous revenons sur le phénomène du « phishing » avec deux cyberexperts : le commissaire Christophe Van Bortel de la Regional Computer Crime Unit (RCCU) de la Police Judiciaire Fédérale (PJF) d’Anvers, et l’inspecteur principal Tijl De Groot de la Local Computer Crime Unit (LCCU) de la zone de police de Bruxelles CAPITALE Ixelles (POLBRU). 

Le nom du commissaire Van Bortel est déjà apparu à plusieurs reprises dans ce genre de courriels. « Lorsque j’ai vu mon nom pour la première fois dans un e-mail, ma première réaction a été  : ‘Mon nom a été détourné, c’est un cas de fraude à l’identité. Je vais faire ouvrir un dossier auprès du parquet.’ Les choses n’ont toutefois pas été aussi simples. J’ai alors cherché une autre manière d’aborder le phénomène et j’ai décidé de me concentrer sur la sensibilisation et la prévention », explique le commissaire. « Par le plus grand des hasards, j’ai été contacté par la rédaction de l’émission WinWin de la VRT (Radio 2). Ils m’ont demandé s’il était vrai que les noms de véritables policiers étaient parfois détournés. Pour la version télévisée de l’émission, ils recherchaient différents types d’escroqueries commises au nom de la police. Avec moi, ils disposaient d’une personne au sein de la police pouvant témoigner de ce genre d’abus. En parallèle, j’ai pu faire passer certains messages. C’était donc effectivement une situation de win-win pour les deux parties. » 

Malgré les nombreuses initiatives de sensibilisation et de prévention, beaucoup de gens tombent encore dans le piège des hameçonneurs. « Nous n’avons pas toujours une idée précise du préjudice financier causé par le phishing », poursuit l’inspecteur principal De Groot. « Les objectifs des criminels peuvent être très variés.  Veulent-ils simplement dérober des données personnelles ou cherchent-ils avant tout à obtenir le versement d’une somme d’argent ? Des personnes nous signalent régulièrement recevoir des e-mails apparemment envoyés par Catherine De Bolle, Eric Snoeck ou notre chef de corps. Heureusement, elles nous contactent généralement avant de tomber dans le panneau. Dans pareil cas, c’est simple, il suffit de dresser un procès-verbal. » 

« Il m’est déjà arrivé de voir quelqu’un perdre une somme importante à la suite d’un hameçonnage », réagit Christophe. « La fille d’une victime m’a contacté pour me signaler que son père avait reçu un e-mail d’hameçonnage. Dans le message, les criminels exigeaient une somme entre 7 600 et 8 000 euros, à verser pour éviter des poursuites judiciaires, c’est-à-dire une amende. Peu de temps après avoir effectué le paiement, le père a reçu le message suivant : ‘Ce n’est toujours pas réglé, vous devez à présent payer 16 000 euros pour éviter d’être arrêté’. La victime a alors senti que quelque chose clochait et a appelé sa fille. C’est ainsi qu’ils ont fini par venir me voir. » 

On peut se demander comment ces cybercriminels parviennent à faire des victimes. « Ils envoient des centaines d’e-mails.  Ceux-ci concernent des infractions reprochées au destinataire, généralement des faits de mœurs. Dans l’e-mail, les escrocs affirment que le paiement d’une somme est nécessaire pour éviter une amende ou des poursuites judiciaires », poursuit le commissaire. « Parfois, les criminels vous annoncent que votre ordinateur a été piraté, et qu’il faut payer si vous voulez que les choses rentrent dans l’ordre. Finalement, c’est toujours la même histoire. Ils te racontent n’importe quoi en espérant que tu vas gober et payer. » 

« En réalité, il est assez simple pour les cybercriminels d’envoyer ce genre d’e-mails », ajoute l’inspecteur principal De Groot. « Ils fonctionnent avec des packages relativement bon marché.  Même si un faible pourcentage des destinataires réagit et tombe dans le piège, leur investissement est facilement rentabilisé. En général, ils en tirent même des bénéfices, et cela ne leur demande que peu d’efforts. » 

Comment repérer un e-mail de phishing ? 

« Quand je donne cette explication, je dis toujours : faites surtout très attention au contenu du message. S’il vous donne des sueurs froides, c’est le signe qu’il faut prendre le temps de l’examiner attentivement. En général, on vous demande de réagir de toute urgence. Il faut se poser la question : Qu’en est-il réellement ? D’où provient cet e-mail ? Comment puis-je vérifier cela auprès d’instances officielles ? », explique Christophe. « Il existe des moyens simples de vérifier l’authenticité d’un courriel. Si le message provient de la police, appelez le poste local. Faites de même avec votre agence bancaire si le message est soi-disant envoyé par la banque. Ils pourront immédiatement confirmer ou infirmer ces informations. » 

« L’adresse e-mail de l’expéditeur peut également vous mettre la puce à l’oreille », ajoute Tijl. « Il n’est toutefois plus si facile de voir d’emblée si une adresse e-mail est correcte ou non, hélas.  Le conseil que nous donnions autrefois, à savoir  vérifiez bien l’en-tête visible pour voir si l’adresse e-mail correspond ou non n’est plus d’actualité. La technologie est tellement avancée qu’il devient de plus en plus difficile, tant pour les citoyens que pour nous, de repérer les fausses adresses e-mail. Une victime avait reçu des courriels qui semblaient provenir de sa propre adresse e-mail. Cette personne était donc convaincue que le cybercriminel avait piraté sa boîte. Dans pareil cas, j’aurais moi aussi tendance à paniquer. En réalité, ces cybercriminels n’ont pas accès à votre compte. Il s’agit simplement d’un spoof, une usurpation d’identité dans le cadre de laquelle le fraudeur utilise une fausse adresse d’expéditeur pour faire croire que l’e-mail provient de votre propre adresse ou d’une autre source fiable. Créer des profils de ce type est assez simple et peu coûteux.   

CONSEIL : Vérifiez l’adresse e-mail réelle de l’expéditeur en passant la souris sur son nom. L’adresse réelle s’affiche alors. Il convient toutefois de rester particulièrement vigilant : les escrocs parviennent également à créer des adresses e-mail qui ressemblent fortement à de vraies adresses authentiques, avec parfois des différences minimes. 

L’adresse e-mail officielle de la police se termine par @police.belgium.eu, mais nous avons déjà constaté des courriels de hameçonnage utilisant le domaine @poli.ce.belgium.eu. 

Souvent, le message comporte des liens sur lesquels il faut cliquer pour confirmer ses données. En principe, une adresse web (URL) fiable commence par « https ». Celles commençant par « http » sont un peu moins fiables. Mais malheureusement, ce n’est plus toujours le cas. En passant le curseur avec la souris sur l’adresse, vous constaterez que l’URL ne renvoie absolument pas vers le site web de l’instance mentionnée dans le message. En fait, il n’y a qu’une seule règle d’or : ne cliquez JAMAIS sur le lien figurant dans le message ; rendez-vous directement sur le site officiel de l’organisation. 

« De nos jours, le simple fait d’ouvrir un e-mail peut déjà être dangereux. Autrefois, on estimait qu’il n’y avait pas de mal à ouvrir l’e-mail tant que l’on ne cliquait pas sur le lien. Mais à présent, il peut arriver qu’un e-mail contienne un logiciel malveillant », prévient Tijl. « Celui-ci peut se trouver dans un fichier PDF, dans une pièce jointe ou quelque chose de ce genre.  Il est donc recommandé d’installer un bon antivirus sur votre ordinateur. Soyez tout simplement prudent : mieux vaut prévenir que guérir ! » 

Un autre phénomène de hameçonnage apparu assez récemment est la fraude de type « recovery room ». En résumé, les cybercriminels qui vous ont déjà soutiré de l’argent vous envoient un nouvel e-mail d’hameçonnage, dans lequel ils prétendent avoir constaté que vous avez été victime d’une tentative d’hameçonnage et vous proposent soi-disant de vous aider à récupérer votre argent. En réalité, ils vous dépouillent encore davantage. 

Que faire si je suis victime ? 

Des personnes se font piéger chaque jour. Souvent, elles n’osent pas se rendre au poste de la Police Locale pour porter plainte, car elles ont honte de s’être laissées duper. 

« Les cybercriminels abusent de la confiance des gens. Mais ceux qui se font avoir ne sont pas stupides pour autant », s’exclament nos deux cyberexperts. « Il ne s’agit même pas de naïveté. Les victimes n’ont rien à se reprocher. Ce sont les criminels qui sont à blâmer. » 

« Nous regrettons que les gens n’osent pas porter plainte.  Il existe par conséquent un chiffre noir qui nous échappe. Une deuxième raison que l’on entend souvent est : On ne va pas porter plainte, car ça ne servira à rien. De toute façon, on ne reverra jamais notre argent. Ce n’est pas vrai. Le monde politique accorde par ailleurs de plus en plus d’attention à cette problématique. Ainsi, les banques sont désormais tenues de rembourser les préjudices subis », explique le commissaire Van Bortel. « L’importance de porter plainte réside dans le fait que la plainte en question pourrait bien être la pièce manquante du puzzle qui nous permettra de démanteler une organisation criminelle. » 

« Je comprends que l’on puisse ressentir de la peur ou de la honte à l’idée d’entrer dans un bureau de police, justement parce que l’on craint d’être jugé », réagit l’inspecteur principal De Groot. « C’est pourquoi les citoyens peuvent à tout moment déposer plainte via Police on Web.  Cela peut être une première étape. Personnellement, je ne le recommande pas, non pas parce que ce n’est pas bien, mais les déclarations qui sont traitées le sont uniquement pendant les heures de bureau et les informations que nous recevons s’avèrent souvent insuffisantes. Et quoi qu’il en soit, la victime doit de toute façon passer nous voir. Dans de telles situations, la rapidité est primordiale. Plus vite nous sommes informés, plus vite nous pouvons passer à l’action. C’est d’autant plus vrai dans les communes ou les villes qui, à l’instar de ma zone de police POLBRU, comptent une LCCU : on y trouve des spécialistes capables de prendre immédiatement le dossier en charge. Nos membres du personnel chargés de l’accueil sont au courant de notre existence. Nous leur donnons également des conseils et expliquons à nos policières et policiers comment enregistrer correctement une plainte, entre autres. Les zones de police de taille plus modeste, qui ne disposent pas d’une LCCU, transmettent leurs informations à une RCCU, comme celle de Christophe, qui se charge ensuite de les traiter. » 

« Je tiens à ajouter que si l’on a effectué un virement, il faut immédiatement prévenir sa banque », précise Christophe. « La plupart des banques disposent d’une ligne d’assistance dédiée à la fraude, accessible 24 heures sur 24, 7 jours sur 7.  Vous trouverez un aperçu des différents numéros sur le dépliant de Febelfin. Elles peuvent d’ores et déjà prendre les premières mesures pour bloquer le virement ou avertir d’autres banques afin d’en empêcher le transfert. Cela laisse un peu plus de temps pour prendre rendez-vous au poste de police afin de déposer plainte. Depuis le lundi 22 juin, la procédure est encore plus simple et plus rapide. Card Stop est devenu FraudStop. Vous pouvez désormais également contacter votre banque au 078 170 170 si vous pensez être victime d’une tentative d’hameçonnage. » 

Christophe et Tijl accordent tous deux une grande importance à la prévention et à la sensibilisation. « La prévention joue également un rôle. Une victime racontera ce que nous lui avons expliqué à sa tante, qui à son tour le répétera dans son quartier, etc. Nous dispensons également des cours aux personnes âgées dans le cadre de Seniorflik. J’enseigne la cybersécurité dans les maisons de retraite depuis l’année dernière. C’est très agréable. Il y a beaucoup d’interactions », explique Tijl. 

« Je donne souvent des exposés dans les écoles et les associations », poursuit Christophe. « J’ai pleinement participé à la campagne #SCAM et je suis très souvent sollicité par la presse pour intervenir sur ce sujet et d’autres thèmes liés à la cybercriminalité. »