Chasse au selfie : réfléchissez-y à deux fois avant de confirmer votre identité

13 Août 2019

Lorsque vous vous inscrivez, certains services en ligne vous demandent de confirmer votre identité en mettant en ligne un selfie de vous avec votre carte d’identité. C’est une manière pratique de prouver qui vous êtes. Vous n’avez pas besoin de vous déplacer et d’attendre. Vous n’avez qu’à prendre une photo, la mettre en ligne et attendre un moment qu’un administrateur valide votre compte.

Malheureusement, votre selfie ne suscite pas que l’intérêt des sites web légitimes et de bonne réputation, mais aussi celui des spécialistes du hameçonnage. Voici comment fonctionne l’escroquerie, pourquoi les criminels en ont après les photos où l’on voit votre carte d’identité et comment ne pas mordre à l’hameçon.

Vérifier votre identité

Un mail de votre banque, un système de paiement ou un réseau social vous disant que, pour une « sécurité en plus » (ou une autre raison), vous devez confirmer votre identité. Voilà comment commence le scénario de base.

Le lien vous redirige vers une page contenant un formulaire vous demandant de renseigner vos coordonnées bancaires, les informations relatives à votre carte de crédit, votre adresse, votre numéro de téléphone et plus encore puis de mettre en ligne un selfie sur lequel apparaît visiblement votre pièce d’identité. À ce moment-là, vous devriez vous arrêter et réfléchir : est-ce vraiment une bonne idée de mettre en ligne un selfie où l’on voit votre carte d’identité ? Cela pourrait être une arnaque.

Des escrocs se font passer pour des systèmes de paiement et des banques, et vous demandent de mettre en ligne un selfie où l’on voit votre carte d’identité

Pourquoi les fraudeurs veulent-ils des selfies où l’on voit les cartes d’identité

Comme nous l’avons déjà mentionné, certains services en ligne exigent une photo de vous avec votre carte d’identité pour vous inscrire. En envoyant un selfie à des escrocs, ils seront en mesure de créer des comptes avec votre nom, et par exemple effectuer des échanges de cryptomonnaie, en vue de les utiliser pour blanchir de l’argent. Résultat : vous pourriez avoir des problèmes avec la loi. Pas terrible.

Sur le marché noir, votre selfie avec votre carte d’identité a beaucoup plus de valeur qu’une version scannée de celle-ci. Avec la photo convoitée en leur possession, les escrocs peuvent la vendre de façon rentable et les acheteurs peuvent utiliser votre nom comme bon leur semble.

Signes caractéristiques de la fraude en ligne

Heureusement pour nous, la fraude en ligne n’est pas un royaume composé de personnes méticuleuses qui perfectionnent chaque petit détail. Un examen minutieux du message d’hameçonnage et du site sur lequel le lien vous a conduit présente presque dans tous les cas beaucoup d’éléments suspects.

1. Erreurs et fautes de frappe

La plupart du temps, l’e-mail ainsi que le formulaire de saisie ne sont pas écrits en prose. Est-ce que les sites web officiels et les e-mails provenant de grandes organisations ont pour habitude d’être remplis de fautes grammaticales ou de frappe ?

2. Adresse suspecte de l’expéditeur

Ces messages proviennent souvent d’adresses enregistrées sur des services de messagerie gratuits ou appartiennent à des entreprises n’ayant aucun rapport avec celle mentionnée dans le message.

3. Nom de domaine qui ne correspond pas

Même si l’adresse de l’expéditeur semble légitime, il est probable que le site hébergeant le formulaire d’hameçonnage soit localisé sur un domaine corrompu ou sans lien. Dans certains cas, l’adresse peut être très similaire (mais différente quoi qu’il en soit) ; dans d’autres cas, la différence est frappante. Par exemple, un message soi-disant envoyé par LinkedIn invite, pour certaines raisons, les utilisateurs à mettre en ligne une photo sur Dropbox.

Pourquoi LinkedIn demanderait de mettre en ligne une photo sur Dropbox ? C’est une escroquerie

 

4. Des échéances excessivement courtes

Parfois, les auteurs de ces e-mails mettent tout en œuvre pour presser les destinataires, en clamant par exemple que le lien envoyé expirera dans 24 h. Les arnaqueurs ont régulièrement recours à cette technique puisque, sous la pression, beaucoup agissent sans réfléchir. Mais il est peu probable que les organisations réputées vous pressent de la sorte sans raison.

5. Demande d’informations que vous avez déjà renseignées

Soyez extrêmement prudents si vous avez déjà renseigné durant votre inscription au moins une des informations demandées, comme votre adresse mail ou votre numéro de téléphone. Et s’il s’agit d’une banque, rappelez-vous que lorsque vous avez ouvert votre compte votre identité a été confirmée. Pourquoi la revérifier pour une incertaine « sécurité en plus » ?

6. Des demandes plutôt que des offres

De nombreuses ressources Internet offrent des fonctionnalités avancées, parfois même liées à la sécurité, en échange d’informations à votre sujet, mais sur votre compte personnel du site web, pas par mail. Normalement, c’est une offre que vous pouvez refuser. Mais dans les formulaires qui s’ouvrent à partir du lien envoyé dans les mails frauduleux, il n’y a qu’un bouton, comme pour suggérer qu’il y a pas d’autre alternative, vous devez mettre en ligne un selfie.

7. Aucune information à ce sujet sur le site officiel

En réalité, vous avez dû confirmer votre identité sur une ressource Internet que vous utilisez depuis longtemps. Cependant, ceci est l’exception, pas la règle. Les détails concernant l’actualité doivent être disponibles sur le site web official du service et facile à trouver en cherchant sur Google.

Ne distribuez pas de selfies où l’on voit votre carte d’identité

Pour empêcher les escrocs de voler votre identité, méfiez-vous de toute demande de donnée, surtout lorsqu’il s’agit de vos documents.

  • Méfiez-vous des demandes de vérification d’identité avec les services que vous utilisez depuis un moment. Si vous ne savez pas si ignorer un message en particulier ou non, cherchez des informations sur le site officiel de l’entreprise.
  • Faites attention à la qualité du texte. Rappelez-vous que les erreurs grammaticales, les mots manquants et les fautes de frappe sont extrêmement rares dans les communications institutionnelles réelles.
  • Vérifiez d’où provient le message et vers où le lien vous dirige. Les entreprises envoient des e-mails à travers des domaines officiels, toute exception serait expliquée sur leur site web. Les études, les formulaires de connexion et autres pages officielles sont normalement cités sur les ressources Internet officielles.
  • Toute restriction, comme un délai très court pour renseigner des informations, devrait vous alerter. Il vaut mieux manquer la date limite que de donner vos informations à des cybercriminels.
  • En cas de doute, contactez le service client. Toutefois, n’utilisez pas le numéro figurant sur le message, cherchez-le plutôt sur le site officiel ou dans l’e-mail de confirmation d’inscription.
  • Installez un programme antivirus fiable vous protégeant du hameçonnage et de la fraude en ligne.