« Assurance maladie : votre carte vitale arrive à expiration », « pour continuer à recevoir vos remboursements de santé, mettez vos informations à jour »... Avez-vous reçu un message de ce genre cet été ? Comme l'alertent les autorités publiques, ces SMS font partie de campagnes de phishing qui usurpent l'identité de Ameli (Assurance Maladie en ligne). Les malfaiteurs font miroiter un remboursement -ou un risque de ne plus être remboursé- pour vous extorquer vos coordonnées bancaires.
L'arnaque au remboursement de l'Assurance Maladie fait partie des grands classiques du phishing, aux côtés de l'arnaque au colis, du faux remboursement des impôts ou encore l'escroquerie au CPF. C'est un phishing de masse, souvent assez grossier dans sa réalisation, et donc peu cher à mettre en place, d'autant plus qu'il existe sur les forums cybercriminels des kits prêts à l'utilisation. En visant un grand nombre de cibles, les malfrats réussiront leur coup même si seule une petite fraction d'entre elles tombe dans le piège.
Pourquoi les malfaiteurs se font passer pour l'Assurance Maladie
Une idée reçue sur les phishings serait que l'identité usurpée dans le message (ici, Ameli) aurait subi un incident de sécurité. Mais dans l'écrasante majorité du temps, ce n'est pas le cas. Et pour cause : les malfaiteurs n'ont pas besoin de lancer des cyberattaques pour obtenir des numéros de téléphone, il leur suffit d'aller sur des forums illégaux.
Chaque jour, des centaines d'entreprises sont victimes de fuites de données, parfois massives. Il suffit que votre numéro se retrouve dans l'une d'entre elles et il sera agrégé à des listes, comme il en existe des centaines sur les forums de pirates. Certaines listes, qui contiennent des informations supposément inutilisées auparavant, s'échangent contre rémunération, d'autres sont disponibles gratuitement. C'est pourquoi, une fois que vous recevez un premier spam, vous en recevez généralement d'autres dans les semaines suivantes.
Problème pour les malfaiteurs : ces listes n'ont souvent aucune cohérence, c'est-à-dire que les propriétaires des numéros ont peu de caractéristiques en commun. Mais avec la composition des numéros, ils peuvent en déduire l'origine et les trier par nationalité. Puis, ils n'ont plus qu'à créer un message qui sera susceptible de concerner le plus de cibles possibles. C'est pourquoi ils usurpent l'identité d'organismes publics comme l'Assurance Maladie ou les impôts : ils sont en contact avec l'écrasante majorité des Français, et offrent des prétextes pour parler d'argent comme le remboursement de soin ou la régularisation de l'impôt sur le revenu.
Quelles précautions prendre
Pour envoyer leur phishing, les malfaiteurs privilégient les SMS aux emails. Ce mode d'envoi, plus onéreux, a l'avantage de se confronter à très peu de protections, là où les boites emails disposent de filtres de plus en plus performants. S'il est difficile, voire impossible, d'empêcher l'envoi des messages, il existe en revanche toutes sortes de moyens pour signaler et bloquer les liens internet contenus dans les SMS, qui servent à voler les données bancaires. Résultats, ils deviennent inactifs généralement dans les heures après l'envoi du message.
Les campagnes de phishing massives comme celles de cet été sont, dans l'écrasante majorité du temps, peu développées techniquement. Autrement dit, recevoir le SMS ne doit pas vous inquiéter sur la sécurité de votre compte Ameli, et même cliquer sur le lien devrait être sans effet, puisqu'il ne s'appuie que très rarement sur des logiciels malveillants.
En revanche, vous devrez réagir vite si vous avez rempli des formulaires, après avoir cliqué sur le lien. Si vous avez donné vos informations de carte bancaire, vous devrez contacter au plus vite votre banque pour faire opposition (la plupart d'entre elles ont un numéro de téléphone joignable 24h/24, 7j/7). Si vous avez donné votre numéro de téléphone ou votre adresse email, il n'y a malheureusement que peu de mesure à prendre, à part redoubler de vigilance, avec ces moyens de contacts pourraient être exploité par d'autres pirates pour envoyer des phishing.
Sujets les + commentés