Comment des fraudeurs ont réussi à pirater un compte Skype pour extorquer de l’argent ?

24 Mar 2015

Note éditoriale : Sergey Dolya, l’auteur de cet article est l’un des bloggeurs les plus populaires en Russie. Cette histoire a récemment touché l’un de ses amis. La victime fut Katya Turtseva, une employée haut placée dans une société internationale spécialisée en TI. Nous précisons cela pour souligner le fait que la victime s’y connaissait un peu en sécurité.

Récemment, une amie à moi s’est fait pirater son compte Skype. Les criminels ont décidé d’en profiter pour piéger ses contacts et en seulement une heure, ils ont reçu plus de 100 000 roubles (1595 euros) !

skype-fraud-story

Les criminels ont été chanceux : elle avait beaucoup de personnes dans sa liste de contacts, environ 300 personnes. Les arnaqueurs ont décidé de demander à ses amis de leur emprunter des sommes d’argent relativement peu importantes, 15 000 roubles (environ 240€)  » jusqu’à demain « . D’ailleurs, c’est la somme maximale que Yandex Money (un système de paiement russe célèbre) permet de transférer en une seule fois.

Le plan était simple :  » Katya  » voulait acheter quelque chose mais n’avait pas d’argent sur son compte Yandex Money. Cette approche était crédible et les contacts pensaient vraiment qu’ils parlaient à la victime. Ils ont décidé de transférer l’argent sans même contacter leur amie, certains ont même envoyé l’argent deux fois.

Voici l’une des conversations entre les fraudeurs (F) et l’un des amis de la victime (V) :

F : Ok, je serai directe : j’ai besoin de ton aide.

V : Qu’est-ce qui s’est passé ? Dis-moi et envoie-moi une photo.

F : Je voudrais t’emprunter de l’argent jusqu’à demain.

V : Combien ? Je peux t’envoyer de l’argent, si j’en ai assez sur mon compte.

F : 15 000 roubles

V : Ok, pas de problème. Où dois-je l’envoyer ?

F : Merci.

V : Comment je te l’envoie ?

F : Je dois payer avec ma carte bancaire mais mon compte est vide. Peux-tu payer ?

V : Pas de problème.

F : http.yandex… (le lien vers la page de paiement)

V : J’ai besoin du compte bancaire d’un destinataire.

F : Hey ! Où es-tu ?

V : Je changeais une couche.

F : Oh, voilà : (numéro de compte du fraudeur).

V : Je prends une photo de la facture et je dois mettre Vanya au lit, il pleure.

F : Ok, je serai en ligne.

V : Ok.

F : Oh, Lena, en y repensant : aurais-tu 15 000 roubles de plus ? Sinon ce n’est pas grave, tu m’as déjà beaucoup aidée ! Mais si oui, je te renverrais 30 000 roubles demain + commission

skype01

Quand l’arnaque a été découverte, il était déjà trop tard pour solutionner le problème.

Mon amie a parlé pendant plusieurs jours avec le support technique de Skype : les employés ont eu besoin de plus de 24 heures pour comprendre ce qui c’était passé. Quand ils ont compris que le compte de Katya avait été piraté, ils ont envoyé un lien vers un formulaire de récupération de mot de passe et ont totalement ignoré le fait que Katya avait informés que les criminels avaient également changé l’adresse e-mail associée au compte.

De plus, le support technique a demandé à Katya de remplir le formulaire, deux fois. Trois jours après le début de l’arnaque, les criminels continuaient d’envoyer des demandes à travers sa liste de contacts. Le support technique a refusé de bloquer le compte de Katya jusqu’à ce qu’il n’est clarifié la situation de bout en bout.

Enfin, Katya a répondu correctement à toutes les questions du formulaire de vérification sauf à une :  » quand votre compte Skype a-t-il été créé ? « . Le support technique a donc décidé que cette situation était bien trop compliquée et lui a recommandé de créer un nouveau compte ! Les voleurs avaient déjà eu le temps de voler près de 4580 euros.

Pendant ce temps, une des amis de Katya a essayé de se faire rembourser. Elle a bloqué sa carte et a demandé à la banque d’annuler le paiement. Sa demande a été acceptée. La banque a confirmé qu’elle n’avait jamais travaillé pour cette boutique avant et lui a demandé de déposer une plainte au commissariat. Sa banque a demandé une copie de sa plainte afin de lancer une enquête.

La police l’a renvoyée à la banque avec plein d’autres documents, elle avait besoin d’un document de sa banque affirmant qu’une enquête avait été lancée. Il y a eu beaucoup d’allées et venues entre les deux institutions. Le département de police n’avait jamais fait face à ce genre de situation avant. Le département de police local lui a indiqué qu’elle devrait envoyer sa demande à un bureau de police à Moscou.

Ensuite, l’amie de Katya a appelé sa banque de nouveau. Sa carte ainsi que le transfert de l’argent avait été bloqués mais uniquement après que le marchand ait réalisé le transfert. C’est seulement une fois l’enquête lancée qu’ils demanderaient à la banque du marchand de lui renvoyer l’argent. Trouver une solution à ce problème semble presque impossible.

Quand d’autres utilisateurs ont essayé d’écrire aux fraudeurs directement, ces derniers n’ont pas cru que la police réagirait face à ce cas. Évidemment, ils ont compris à la perfection le système juridique russe ainsi que la politique de sécurité de Skype :

  • ***, laissez-nous vous parler, au moins par chat
  • ***, allez-vous faire f*****
  • Allez, Katya nous dit que vous avez déjà rassemblé plus de 100 000 roubles.
  • Ils disent qu’elle est allée à la police. Et tant mieux pour elle, moi je suis très bien dans mon anonymat.
  • Il y a peu de chances que nous brisions ton anonymat par chat.
  • Vous me dérangez.
skype03

Il semble que la seule chose que vous pouvez faire dans ce cas c’est sécuriser vos comptes. Voici quelques conseils :

  • Le meilleur conseil et pourtant le plus ignoré qu’on puisse vous donner est d’utiliser un mot de passe fiable ! Tout le monde le sait mais il reste de nombreuses personnes inconscientes.
  • N’utilisez pas le même mot de passe pour différents comptes. Si vous le faites, si l’un des services est compromis vous pourriez perdre tous vos comptes.
  • Utilisez l’authentification à deux facteurs pour protéger vos comptes. Dans ce cas, vous recevrez un code court via SMS ou e-mail que vous utiliserez comme un second mot de passe.
  • Ne cliquez pas sur les liens suspects : il existe de nombreuses pages sur le Web qui volent vos données. Il s’agit d’hameçonnage. De plus, ne faites pas confiance aux messages provenant de contacts inconnus.