Le grand coup de l’arnaque par messagerie qui vise votre portefeuille

Tout commence par quelque chose de familier : un court message, un nom de confiance, un ton habituel. Les notifications de livraison, les messages professionnels, les alertes des marques restent en arrière-plan, attirant rarement l’attention. Vous vérifiez, vous répondez, vous passez à autre chose — jusqu’à ce que, quelques minutes plus tard, vous tombiez dans un piège conçu pour vous faire baisser la garde et détourner votre confiance.

Voilà pourquoi les escroqueries par messagerie sont si efficaces : elles exploitent des habitudes quotidiennes où l’instinct, et non la prudence, guide nos actions. Avant, la communication était lente, laissant place au doute. Aujourd’hui, elle est instantanée — et cette rapidité est une arme entre les mains des criminels.

Dans notre blog, nous avons déjà passé en revue de nombreuses arnaques commises par applications de messagerie — qu’il s’agisse du « pig butchering », où la victime est manipulée pendant très longtemps, du « catfishing », où l’arnaqueur se crée une fausse identité, ou encore du phishing via des chatbots ou des campagnes de cadeaux sur ces mêmes applications.

Aujourd’hui, pour la première fois, Kaspersky s’est donné pour mission de saisir la réalité complète des escroqueries basées sur la messagerie afin de comprendre de bout en bout à quelle vitesse le préjudice survient, quel est leur impact sur la confiance et ce qu’il reste une fois l’interaction terminée. Il en ressort un écosystème d’escroqueries hautement organisé et industrialisé, intégré aux canaux de messagerie quotidiens tels que les SMS, WhatsApp et les e-mails.

Les experts de Kaspersky ont rédigé un rapport sur les escroqueries ciblées dans les applications de messagerie, détaillant non seulement les dommages financiers mais aussi émotionnels causés par ces attaques, et fournissant des conseils pour se protéger et les éviter. Dans cet article, nous allons explorer les faits les plus intéressants, et vous trouverez plus de détails dans le rapport complet.

Les dommages sont sous-estimés

À votre avis, combien coûte à une victime moyenne une seule attaque réussie via une application de messagerie ? Dix euros ? Ou peut-être… cinquante ? Vous sous-estimez les escrocs. Bien que plus d’un tiers (36 %) des victimes subissent des pertes inférieures à 115 euros (135 dollars), en moyenne, une victime perd… 630 euros (733 dollars) !

D’un côté, le préjudice financier ne semble pas catastrophique pris isolément. Il s’agit de micro-pertes par nature. Suffisamment minimes pour que certaines ne soient jamais signalées à la police. Suffisamment minimes pour que les banques n’ouvrent pas toujours d’enquête. Suffisamment minimes pour être considérées comme de la malchance plutôt que comme le fait du crime organisé.

Mais 1 024 euros pour la Françe, ce n’est pas rien. Cela suffit à couvrir un mois de courses, les frais de scolarité ou de garde d’enfants, ou encore les factures d’électricité. Dans le contexte de la crise mondiale du coût de la vie, une seule perte de ce type peut sérieusement compromettre le budget d’une famille.

Dans 11 % des cas, les pertes dépassent 1 160 euros (1 350 dollars), et plus d’un quart des victimes (28 %) déclarent avoir été escroquées au moins trois fois au cours des six derniers mois. Dès que les escrocs découvrent qu’un numéro de téléphone répond, ce contact devient un atout, circulant d’une base de données à l’autre.

Imaginez maintenant l’ampleur du problème : si seulement 10 % des trois milliards d’utilisateurs d’applications de messagerie dans le monde étaient victimes d’une perte moyenne, le préjudice total s’élèverait à près de 176 milliards d’euros ! Ce chiffre est comparable au PIB de la Grèce et dépasse celui du Maroc, de la Serbie ou de la Côte d’Ivoire.

Il apparaît clairement que derrière le flot quotidien d’arnaques se cachent de vastes cartels opérant à l’échelle industrielle, utilisant l’IA pour personnaliser des messages imitant ceux de membres de la famille, d’amis et de marques connues. Cela constitue, en substance, le fondement d’une véritable économie bâtie sur l’usurpation d’identité numérique.

La rapidité l’emporte sur la vigilance

Plus de la moitié des escroqueries par messagerie qui aboutissent (52 %) se déroulent en moins de 30 minutes — du premier contact au moment où l’argent ou les données personnelles changent de mains — voire plus rapidement, avant que la victime ne commence à douter de la légitimité de l’expéditeur. En fait, une escroquerie sur sept prend moins de cinq minutes — c’est plus rapide que de faire bouillir un œuf !

Cette rapidité n’est pas le fruit du hasard. C’est la méthode. Les escrocs structurent leurs stratagèmes de manière à ne laisser aucune chance à la victime de reprendre ses esprits. Chaque élément est conçu pour réduire le temps de réflexion : l’urgence du scénario, la familiarité du format, la plausibilité de la demande.

Ils vous pressent : « Plus vite, plus vite, n’en parlez à personne, vous n’avez que quelques minutes, réglez le problème, ne posez pas de questions ». Cliquez sur le lien, remplissez le formulaire, validez la transaction, sinon… Sinon quoi ? L’imagination des escrocs n’a pas de limites, mais si vous n’agissez pas immédiatement, vous le regretterez à coup sûr.

Hélas, on ne se rend généralement compte de ce qui s’est passé que lorsque le mal est déjà irréparable. Plus de la moitié des victimes (51 %) perdent de l’argent ; 43 % d’entre elles communiquent leurs données personnelles — le plus souvent des numéros de téléphone, des noms et des adresses e-mail — aux escrocs, et souvent, la victime perd les deux.

Où et comment les attaques se produisent

Une notification de livraison, une alerte bancaire, un message d’un commerçant chez qui vous avez passé commande la semaine dernière : les applications de messagerie imprègnent tous les aspects de la vie quotidienne, rendant ces interactions tout à fait normales. Une attaque ne doit pas ressembler à une attaque. Elle doit ressembler au même message que vous avez reçu des centaines de fois.

Il n’est pas surprenant que les escrocs concentrent leur attention en priorité sur ce mode de communication. Les plateformes les plus utilisées pour les escroqueries sont prévisibles : WhatsApp (43 %), SMS/iMessage (40 %), Facebook (27 %), Telegram (22 %) et Instagram (19 %) — ce sont celles auxquelles les gens font le plus confiance.

Une grande variété de stratagèmes est utilisée. L’usurpation d’identité de marque est désormais l’un des trois types d’escroquerie par messagerie les plus courants au monde, représentant 31 % des cas. Les fausses notifications de livraison arrivent en tête de liste avec 38 %, suivies par les escroqueries à l’investissement avec 37 %. Ce sont des escroqueries qui ciblent précisément les domaines où les gens achètent, effectuent des opérations bancaires et font confiance.

Parallèlement, près des deux tiers (63 %) des stratagèmes frauduleux s’étendent sur plusieurs plateformes, passant des SMS à WhatsApp, de WhatsApp à Telegram, etc. De cette manière, les escrocs atteignent deux objectifs : ils imitent les messages organiques et échappent aux algorithmes de modération.

L’IA a fait passer les escroqueries à un niveau supérieur

Il y a seulement quelques années, les messages frauduleux se trahissaient par une grammaire approximative, des tournures maladroites, des demandes illogiques et un sentiment d’urgence obsessionnel. Aujourd’hui, un message de phishing ressemble, sonne et se lit comme un vrai message.

Les cartels d’escrocs veulent piéger les gens en mouvement — entre deux réunions, pendant leurs trajets quotidiens ou au cours de leurs tâches quotidiennes —, lorsque votre attention est déjà dispersée. Ils imitent la façon de s’exprimer de votre mère. Ils reprennent le ton de votre banque. Ils copient exactement le format de votre service de livraison. Ils reproduisent le rythme, la structure et le style des communications authentiques des marques sur toutes les plateformes de messagerie. Et l’IA accélère tout cela.

Il en résulte un chevauchement. Les messages légitimes et frauduleux apparaissent dans le même environnement, utilisant les mêmes formats, le même langage et les mêmes déclencheurs. La différence entre les deux n’est plus évidente.

Les données montrent que deux tiers des victimes (66 %) pensent que l’IA a été utilisée dans l’arnaque dont elles ont été victimes, 42 % mentionnent des messages rédigés par l’IA, 31 % signalent des voix générées ou clonées, et 25 % ont été confrontées à des images ou des vidéos deepfake.

C’est pourquoi la simple sensibilisation et la « maîtrise des technologies » ne suffisent peut-être plus à se protéger. De la génération Z à la génération X, les escroqueries par messagerie touchent toutes les générations.

Et qu’en est-il du coût émotionnel ?

Mais l’argent est loin d’être le seul problème auquel une victime est confrontée après une attaque. Après ce qu’elles ont vécu, les personnes développent une méfiance envers les messages reçus, les numéros inconnus et toute demande d’action. En conséquence, 99 % des victimes de fraude déclarent ne plus faire confiance aux notifications reçues dans les applications de messagerie.

Cela engendre une crise de confiance envers l’ensemble des canaux numériques en général. Tout message légitime peut désormais être perçu comme une arnaque. Les marques, les banques et les services de livraison sont contraints d’évoluer dans un environnement où le client se trouve, par défaut, dans un état de méfiance.

Le Dr Elizabeth Carter, linguiste judiciaire et criminologue à l’université de Kingston à Londres, souligne que les escrocs exploitent des contextes familiers, des situations sociales courantes et des normes linguistiques bien ancrées pour donner à la victime l’illusion que ses décisions sont rationnelles et raisonnables sur le moment. Or, ce qui se passe en réalité, c’est qu’ils construisent de fausses réalités dans lesquelles ces décisions finissent par causer un préjudice financier et psychologique. Elle ajoute qu’il est très difficile de reconnaître une fausse réalité lorsqu’on s’y trouve.

Après avoir réalisé qu’elles avaient été trompées, plus de la moitié des victimes ont ressenti de la colère — celle qui vient du fait d’avoir fait confiance à quelque chose et de découvrir que cela a été utilisé contre soi. 42 % des victimes font état de frustration, 38 % se disent bouleversées. De plus, plusieurs mois plus tard, ces sentiments n’ont pas disparu : près de la moitié des victimes (48 %) sont toujours en colère, un tiers (33 %) restent frustrées et 30 % sont bouleversées.

Et près d’une victime sur dix ne parle à personne de ce qui s’est passé. Elle ressent de la honte, le sentiment d’avoir manqué quelque chose de si évident. Cela fait qu’une part importante des dommages réels n’est pas signalée : seules 24 % des victimes contactent la police, et seules 23 % le signalent à leur banque.

Que peut-on faire alors ?

La crise de confiance — voire un soupçon de paranoïa — qui a surgi en raison des attaques généralisées contre les utilisateurs peut persister longtemps dans l’esprit des victimes, affectant leur qualité de vie. Pour éviter cela, suivez ces conseils :

• Réfléchissez avant d’agir. Le sentiment d’urgence que vous ressentez est presque toujours artificiel. Une banque, un commerçant ou un service de livraison légitime ne vous pénalisera pas si vous prenez trente secondes pour vérifier avant de cliquer sur un lien ou de confirmer des informations. C’est précisément sur cet instinct de vouloir résoudre rapidement la situation que misent les escrocs.
• Vérifiez par un autre canal. Si un message semble provenir d’un proche, d’un collègue ou d’une entreprise en qui vous avez confiance, contactez-les par un autre canal avant d’entreprendre quoi que ce soit. Utilisez des méthodes de vérification sécurisées et recoupez les identités lorsque quelque chose vous semble suspect. Pour les familles, convenir à l’avance d’un  » mot de sécurité  » peut déjouer même les clones vocaux les plus convaincants.
• Utilisez un gestionnaire de mots de passe. Il vous aidera non seulement à générer des mots de passe forts et uniques pour tous vos comptes, à les stocker en toute sécurité et à les synchroniser sur tous vos appareils, mais il vous protégera également contre les sites frauduleux. Même si vous cliquez sur un lien de phishing et que vous arrivez sur un tel site, notre gestionnaire de mots de passe vous avertira de la non-correspondance du domaine et refusera de remplir automatiquement votre nom d’utilisateur et votre mot de passe.
• Optez pour une protection en temps réel. Les solutions de sécurité modernes, telles que Kaspersky Premium, offrent une protection en temps réel contre les liens malveillants et les tentatives d’hameçonnage dans les applications et les sites web que vous utilisez au quotidien. Sur les appareils Android, une couche de sécurité anti-hameçonnage dédiée analyse et neutralise les liens suspects dès leur apparition, même au sein des notifications, avant même que vous n’ayez le temps de cliquer dessus.