Ces escrocs vous appellent sur FaceTime pour vider votre compte bancaire
Ne reculant devant aucune ruse, des escrocs contactent désormais leurs victimes via FaceTime en se faisant passer pour des conseillers bancaires. Ils réclament ensuite un partage d'écran pour récupérer leur code secret !
Les cybercriminels font preuve d'une ingéniosité redoutable pour mettre au point de nouvelles techniques visant à arnaquer leurs victimes, surtout lorsqu'il s'agit d'escroqueries bancaires. Les équipes de CBS News ont découvert leur nouvelle arme pour piéger les utilisateurs d'iPhone : FaceTime. Longtemps perçu comme un service sûr, intégré à l'écosystème d'Apple, l'outil de visioconférence et d'appel vidéo est désormais utilisé dans des arnaques particulièrement redoutables. Les escrocs, se faisant passer pour des conseillers bancaires, poussent leurs victimes à partager leur écran puis à saisir leurs identifiants bancaires en direct devant la caméra. Une façon ingénieuse de dérober leurs identifiants bancaires et, dans certains cas, de vider leurs comptes.
Arnaque FaceTime : un scénario bien ficelé
La technique est bien rodée. Tout commence généralement par un SMS avec un numéro à appeler, signalant une prétendue activité suspecte sur un compte bancaire ou une carte de paiement. La victime est invitée à rappeler un numéro ou reçoit directement un appel d'une personne se présentant comme un conseiller bancaire. Sous prétexte de procéder à une vérification de sécurité, l'interlocuteur demande ensuite de poursuivre l'échange sur FaceTime.
C'est à ce moment que le piège se referme. Le faux conseiller demande à sa cible de partager l'écran de son iPhone afin de l'accompagner dans les démarches de sécurisation de son compte. En réalité, les escrocs observent en direct tout ce qui s'affiche à l'écran, notamment les identifiants bancaires, les mots de passe et parfois même les codes de validation envoyés par la banque. Une fois ces informations récupérées, ils peuvent accéder au compte et effectuer des virements ou des paiements frauduleux.
Dans les cas les plus graves, les cybercriminels vont encore plus loin et persuadent leurs victimes d'installer une application de prise de contrôle à distance. Une telle manipulation leur permet de conserver un accès au smartphone et de poursuivre leurs opérations frauduleuses même après la fin de l'appel.
Arnaque FaceTime : comment réagir face à un appel suspect ?
Cette méthode repose avant tout sur l'ingénierie sociale, c'est-à-dire la manipulation psychologique des victimes. Aucun piratage complexe n'est nécessaire. Les fraudeurs exploitent simplement la confiance accordée aux services d'Apple et à la communication en visioconférence. Le fait de voir un visage à l'écran ou de recevoir un appel via une application réputée rassure de nombreuses personnes, alors qu'il est impossible de vérifier l'identité réelle de l'interlocuteur.
L'entreprise rappelle qu'elle ne contacte jamais ses clients par FaceTime pour leur demander des informations confidentielles et qu'aucune banque n'exige le partage d'écran d'un téléphone afin de résoudre un problème de sécurité. Les établissements n'invitent pas non plus leurs clients à communiquer leurs mots de passe, leurs identifiants bancaires ou leurs codes de validation reçus par SMS.
Face à ce type d'attaque, plusieurs réflexes permettent de limiter les risques. En cas d'appel inattendu évoquant un problème bancaire, mieux vaut raccrocher immédiatement et contacter soi-même son établissement en utilisant le numéro figurant au dos de sa carte bancaire ou sur son espace client officiel. Il faut également se méfier de toute personne cherchant à créer un sentiment d'urgence ou à pousser à agir dans la précipitation.
Apple a mis en place un dispositif de signalement spécifique pour les appels FaceTime frauduleux. Les utilisateurs peuvent transmettre une capture d'écran de l'appel suspect à l'adresse dédiée reportfacetimefraud@apple.com. En France, les victimes peuvent également se tourner vers la plateforme Cybermalveillance.gouv.fr afin d'obtenir des conseils sur les démarches à entreprendre, notamment le dépôt de plainte et le signalement auprès de leur banque. Il est aussi possible de signaler le message frauduleux via Signal Spam, Pharos ou au 33700 en cas de phishing par mail ou SMS.
Notons que les banques sont en principe tenues de rembourser les opérations non autorisées, sauf si elles parviennent à démontrer une négligence grave de leur client. Or, dans la plupart des cas, le simple fait de se faire manipuler par un faux conseiller, même si l'on a validé soi-même des opérations, n'en constitue pas une. Et, si les banques refusent, la justice n'hésite pas à les condamner.
