Arnaque Netflix : que se cache-t-il derrière le SMS de phishing ?

Une nouvelle campagne de phishing via une arnaque par SMS touche actuellement les Français. Des escrocs se font passer pour Netflix et prétendent que votre compte sera suspendu si vous ne fournissez pas rapidement vos informations bancaires. La Tribune a mordu au piège pour vous expliquer les ficelles de l'arnaque et comment les éviter.
François Manens
(Crédits : Dado Ruvic)

« NETFLIX : rejet de paiement veuillez confirmer vos informations sous 24h ou votre compte sera suspendu ». Depuis le début de la semaine, un grand classique des SMS frauduleux (aussi appelé phishing ou hameçonnage) circule : l'arnaque au compte Netflix. L'objectif des escrocs ? Récupérer d'abord vos informations personnelles, puis vos données bancaires, pour ensuite vous laisser avec l'impression que vous avez simplement rétabli votre compte. La Tribune a mordu à l'arnaque pour vous.

Lire aussiFaux SMS d'Ameli et détournement d'Apple Pay : comment un couple s'est fait voler plus de 3.700 euros

Pourquoi l'identité de Netflix est-elle usurpée ?

Le phishing Netflix est très courant pour deux raisons. D'abord, il permet de toucher un grand nombre de personnes. Dans une interview publiée par le JDD cet été, le co-PDG de Netflix Ted Sarandos avançait que l'entreprise compte 10 millions de foyers français parmi ses clients. En prenant en compte que chaque compte est utilisé par plusieurs personnes et que certains comptes sont partagés avec des personnes hors du foyer, on peut facilement estimer qu'au moins 15 millions de Français utilisent Netflix.

C'est une aubaine pour les escrocs : ils envoient massivement leur phishing à des listes de numéros de téléphone achetés ou trouvés gratuitement sur des forums illégaux, sans savoir s'ils appartiennent à des abonnés de Netflix. Mais puisque le service est si populaire, ils ont plus ou moins une chance sur six que le destinataire du message se sente concerné par un potentiel problème de compte. Ensuite, le prétexte Netflix permet d'introduire la question du paiement -et donc l'entrée d'informations bancaires- sans trop éveiller de soupçons.

La précipitation, atout des escrocs

Le phishing qui circule en ce moment utilise une ficelle bien connue des escrocs : l'urgence. L'idée est de ne pas amener la victime à trop réfléchir en affirmant que le destinataire du message n'a que 24 heures pour agir. Or, plus la victime se précipitera pour répondre, moins elle se posera de questions sur la cohérence du scénario proposé, et moins elle relèvera les détails étranges comme l'adresse du site web ou la grammaire parfois douteuse des messages. Même pour des personnes éduquées aux bases de la cybersécurité, quelques minutes d'inattention peuvent mener à la perte de plusieurs centaines voire milliers d'euros.

La prétendue limite de temps permet aussi aux escrocs de faire le plus de victimes possibles avant que leur site frauduleux soit bloqué. Bon nombre d'utilisateurs signalent les liens frauduleux aux hébergeurs qui les retirent (pour la plupart) rapidement, et parfois les entreprises dont l'identité est usurpée assurent elles-mêmes ce travail de veille. Résultat, il est rare qu'un site d'arnaque reste en ligne plus de 48 heures.

Dans le cas que nous étudions, les escrocs ont utilisé un raccourcisseur de lien, s.id, similaire à bit.ly ou cutt.ly pour les plus connus, pour renvoyer vers leur site frauduleux. Ce service à deux avantages : il cache (en apparence) l'adresse de la destination finale et il permet de faire rentrer le message sous la barre des 160 caractères autorisés par le format SMS (au-delà, l'expéditeur devrait payer plus cher). Le problème, c'est que de nombreuses entreprises légitimes font aussi appel à ces raccourcisseurs, de sorte que les consommateurs ne s'inquiètent pas forcément d'un lien bit.ly ou s.id, alors qu'ils pourraient se méfier de « netflix.aide-utilisateur.com », l'adresse du site de destination.

Première victoire des escrocs, les identifiants

Une fois le lien cliqué, la victime arrive sur une page de connexion très ressemblante à celle du site officiel. Les escrocs affichent même une fausse bannière vers l'application. Comme souvent, aucun des liens de la page n'est cliquable, car les malfaiteurs se contentent de reproduire l'esthétique.

Netflix phishing

Nous rentrons de faux identifiants : email et mot de passe. C'est une première victoire pour les escrocs. Ils vont pouvoir soit vendre l'accès au compte Netflix (pour quelques euros), soit accumuler les identifiants et vendre la liste sur des forums de hacker, si ce n'est les deux. Puisque de trop nombreuses personnes continuent de réutiliser les mêmes identifiants pour plusieurs sites, les identifiants Netflix ont de la valeur même en dehors de la plateforme.

Une fois (faussement) connecté, le site affiche un message en pleine page : « Chèr(e) [La Tribune], notre système a détecté une contestation des frais de vôtre part liées à votre abonnement Netflix. Dans les jours à suivre votre compte sera automatiquement désactivé. Si vous pensez que c'est une erreur de notre part, faites le nous savoir en mettant à jour vos informations pour réactiver votre compte ». Un œil affûté remarquera les fautes de grammaire, mais le gros bouton rouge « vérifier » en bas de page suffit à détourner l'attention.

Deux formulaires pour aspirer les données

Après avoir cliqué sur le bouton, le site nous renvoie vers deux formulaires successifs. D'abord, un formulaire de mise à jour des données personnelles, qui demande de rentrer nom, prénom, date de naissance, adresse, ville, code postal et numéro de téléphone. Autant de données qui peuvent ensuite être vendues en lot par les escrocs.

Netflix phishing formulaire

Puis dans un second temps, un formulaire de mise à jour des informations bancaires, avec numéro de carte, nom sur la carte, date d'expiration et cryptogramme visuel (CVV, le code à 3 chiffres au dos de la carte). Les deux formulaires sont séparés car généralement, les victimes se posent plus de questions lorsqu'elles doivent entrer leurs données bancaires, ce qui pourrait menacer la collecte des données personnelles.

Si la victime communique ses données bancaires, elles pourront être immédiatement exploitées par les malfaiteurs, ou revendues au marché noir selon le mode opératoire des malfrats.

Une fin de phishing propre pour ne pas éveiller les soupçons

Dans le cas que La Tribune a étudié, les escrocs soignent leur sortie. Après avoir validé les formulaires, le site affiche le message : « Félicitations. Chèr(e) [La Tribune], votre compte est maintenant activé et vous disposez à nouveau de la totalité de nos services. Netflix vous remercie ». Puis au bout de 10 secondes, il redirige la victime vers netflix.com, le site officiel de l'entreprise. L'objectif de cette manœuvre : éteindre les soupçons de la victime. Si elle se rend compte de l'arnaque immédiatement après avoir donné ses informations bancaires, les escrocs n'auront pas le temps de les exploiter, puisqu'elle aura fait opposition sur sa carte. En revanche, si elle oublie cette interaction, il peut se passer plusieurs jours avant qu'elle réalise qu'elle a communiqué ses données aux mauvaises personnes.

Pour éviter ce genre de piège, il est conseillé de toujours passer par le site officiel de l'entreprise (celui en tête sur les principaux moteurs de recherche comme Google, Bing, Qwant ou Duckduckgo). Concrètement, si Netflix, La Poste, Ameli ou les Impôts vous contactent, ne passez pas par les liens contenus dans les messages, mais plutôt par l'application ou le site officiel. De même, il faut éviter de se précipiter à la réception des messages, et toujours s'interroger sur la cohérence de la situation.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 28/09/2022 à 14:43
Signaler
Par mail j'ai reçu plusieurs fois des messages en turc, de Netflix Turquie, je ne sais pas pourquoi, n'étant pas plus client en France que la bas. Et n'ai pas essayé de savoir si je pouvais m'abonner ou si c'était un piège. Une fois c'était un mail ...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.