Les escrocs utilisent la psychologie pour leurs arnaques les plus convaincantes. Découvrez comment conseiller vos clients.
Aujourd’hui, le crime le plus répandu n’est pas le vol, ni même le cambriolage : il s’agit des fraudes en ligne. Les arnaques émotionnelles occupent une place de choix parmi les fraudes en ligne. De plus, quiconque disposant d’une connexion Internet (c’est-à-dire tous vos clients) en sont des victimes potentielles. Que devez-vous savoir et quels conseils donner à vos clients pour qu’ils soient protégés de cette arnaque très particulière ?
Qu’est-ce qu’une arnaque émotionnelle ?
L’arnaque émotionnelle est un type de fraude en ligne particulièrement sophistiquée qui fait appel à la psychologie humaine pour arriver à ses fins. Nous avons tous certains préjugés et points faibles émotionnels qui nous rendent vulnérables à la fraude. C’est pourquoi même des personnes qui se considèrent « intelligentes » peuvent se laisser tromper si l’approche est de nature à leur faire baisser la garde.
En particulier, les principales arnaques émotionnelles dont il faut se garder sont :
- Arnaque sentimentale
- E-mails de sextorsion ou de sexploitation
- « Pig butchering » ou boucherie de porcs (arnaques hybrides à long terme)
- Arnaques au paiement
- Arnaques à la personne disparue
- Alertes aux fausses applications
Analysons-les toutes, ainsi que les mesures que vos clients peuvent prendre pour éviter de tomber dans leurs filets.
Arnaques sentimentales
Une arnaque sentimentale est une tromperie généralement initiée en ligne qui cible des personnes vulnérables. Elle commence lorsque l’escroc établit une connexion émotionnelle avec sa victime, souvent sur une plateforme de rencontres, dans le but d’exploiter sa confiance et en tirer un avantage financier. La réussite d’une arnaque sentimentale dépend de la capacité de l’escroc à manipuler les émotions et à instaurer un faux sentiment d’intimité. L’escroc se crée un personnage qui répond au désir de la victime d’être aimé, de trouver de la compagnie et de l’affection. L’escroc fait croire à sa victime qu’il existe entre eux une connexion sincère, basée sur le partage des mêmes expériences de vie, des mêmes rêves et des mêmes vulnérabilités. Ce lien émotionnel s’intensifie, ce qui empêche la victime de comprendre qu’il s’agit d’une tromperie. L’escroc évite de se faire démasquer en maintenant une authenticité de façade. Ces escrocs agissent souvent depuis des pays avec lesquels la coopération policière est limitée, ce qui rend très difficile de les retrouver. Il s’agit pour les victimes d’une arnaque profondément blessante, car l’escroc exploite leur confiance et leur amour pour obtenir de l’argent.
Les chercheurs d’Avast ont détecté une recrudescence nette des arnaques sentimentales, mais il est possible de prendre des mesures pour s’en protéger.
Sextortion
Il s’agit d’une forme de chantage remis au goût du jour, qui exploite les vulnérabilités de toujours : le sexe et la menace d’être exposé. Elle commence par un e-mail comme celui-ci :
Malgré ses fautes d’orthographe, un e-mail comme celui-ci peut être angoissant. En premier lieu, il formule des menaces spécifiques. Ensuite, il utilise une terminologie relativement vraisemblable (« mon cheval de Troie a capturé toutes vos données privées et a allumé votre caméra »). Et pour finir, il fait levier sur certaines craintes et sème le doute auprès de personnes manquant de connaissances technologiques et qui pourraient penser qu’il est possible d’accéder à votre webcam et d’enregistrer des vidéos à distance.
La chose la plus importante à dire à un client ayant subi ce genre de menace est de ne pas répondre du tout. Vous pouvez ensuite le rassurer en lui expliquant que ce genre d’e-mail n’est généralement pas basé sur des faits réels. Dans 99 % des cas, il n’y a rien à exposer.
Il est extrêmement improbable qu’un escroc parvienne à accéder à la webcam d’une personne et à enregistrer des vidéos. Un accès à distance est possible, mais uniquement suite au téléchargement d’un malware provenant d’un site malveillant sur l’ordinateur de la victime.
Souvent, le sentiment de crainte est renforcé par le fait que l’e-mail de menace semble avoir été envoyé à partir de l’adresse e-mail de la victime. Cela donne l’illusion qu’il s’agit d’une approche ciblée et non aléatoire. Cependant, il est relativement simple pour un escroc de manipuler le champ « De » dans un e-mail. Il s’agit d’une astuce bien connue pour donner l’impression qu’il a accès à l’ordinateur et aux données du destinataire.
Parfois, l’e-mail peut contenir un mot de passe ancien du destinataire. Encore une fois, il s’agit d’une méthode visant à renforcer l’impression d’accès de l’escroc, mais qui n’a en vérité aucun sens. Ce mot de passe pourrait avoir été acquis moyennant une violation de données et non directement auprès du destinataire. Si ce mot de passe est ancien et n’a pas été utilisé par un pirate, alors il ne représente pas plus une menace que l’utilisation de l’adresse e-mail du destinataire.
Il est important de noter que le nom de la victime ne figure pas dans l’e-mail. Même si le message semble ciblé, il s’agit clairement d’une arnaque de masse.
Le fait que le numéro de téléphone de la victime figure dans l’e-mail peut également sembler inquiétant, mais n’indique en aucun cas que l’escroc est en possession d’informations utiles sur elle. Tout comme les mots de passe, les numéros de téléphone peuvent également être obtenus grâce à une violation de données et, comme ils changent moins souvent, ils sont probablement actuels. Il est par ailleurs improbable que l’escroc contacte la victime par téléphone. Le destinataire peut donc tout simplement ignorer, supprimer et oublier l’e-mail sans avoir aucune conséquence à craindre.
Mais cela n’empêchera pas l’escroc de recommencer. L’e-mail contient parfois un compte à rebours ou un délai. Si l’escroc ne reçoit pas de réponse, il peut insister pour augmenter la pression. Il peut aussi invoquer un prolongement du délai pour donner une autre chance au destinataire. Cela peut se poursuivre pendant plusieurs jours, voire plusieurs semaines. La meilleure option consiste à bloquer ces e-mails, les supprimer dès que possible et les oublier.
Conseils pour aider vos clients à ne pas se laisser sextorquer
- Évitez de cliquer sur les liens figurant dans l’e-mail
- Ne répondez en aucun cas
- Ignorez, supprimez, bloquez
- Si l’e-mail contient un mot de passe en cours d’utilisation, modifiez-le [lire ci-après des conseils relatifs aux mots de passe]
- Installez un logiciel antimalware et mettez régulièrement vos logiciels à jour
Lors de la création d’un mot de passe, voici les principaux conseils à leur donner :
- Choisissez un mot de passe aléatoire, évitez le nom de votre animal domestique en y ajoutant des chiffres ou des caractères. Les cybercriminels sont des experts en ingénierie sociale et savent comment vous faire révéler le nom de votre animal de compagnie.
- Utilisez au moins 12 caractères
- Ajoutez des lettres en majuscule et en minuscule
- Ajoutez des symboles et des chiffres
- Ne révélez jamais votre mot de passe à qui que ce soit en ligne (ni hors ligne)
Avertissement
Il est possible que le client destinataire d’un de ces e-mails soit effectivement personnellement visé par la menace. Peut-être a-t-elle eu au préalable des échanges avec l’expéditeur. Il s’agit dans ce cas de chantage et le client doit en avertir les autorités compétentes.
« Pig Butchering » (boucherie de porcs)
Il ne s’agit bien entendu pas d’abattre des porcs, mais c’est une situation tout aussi désagréable. Cette pratique doit son nom au fait que la victime se fait « engraisser » de mots affectueux avant d’être « abattue ».
Il s’agit d’une arnaque de longue haleine qui commence par un SMS, un message sur les réseaux sociaux ou une rencontre sur une plateforme professionnelle. L’escroc s’insinue lentement, gagne la confiance de la victime et commence une « histoire » en ligne à grand renfort d’e-mails. Cette phase d’« engraissage » (ou de séduction) conduit à la phase successive, qui consiste à proposer un investissement (généralement en cryptomonnaies).
De fausses plateformes et de faux sites Web montreront à la victime ses gains supposés, alors qu’en réalité les montants « investis » sont déversés directement à l’escroc. La victime se sentira encouragée à investir à nouveau des montants de plus en plus importants, et c’est ici qu’intervient l’aspect psychologique. Les études montrent que les personnes sont moins réceptives envers des signaux adverses si elles ont déjà investi beaucoup d’argent, de temps et d’efforts. Autrement dit, il est plus probable que les personnes renflouent un gouffre sans fin.
Cependant, lorsque la victime n’a plus d’argent à « investir », ou tente de retirer une partie de ses « bénéfices », elle sera bloquée et il lui sera impossible de contacter son escroc. Le côté sentimental de l’arnaque provoque une sorte de honte chez la victime, qui n’ose pas en parler à ses amis et à sa famille, ou de s’adresser aux autorités.
Un fait divers récent illustre à la perfection une arnaque de type « pig butchering » (boucherie de porcs) commencée sur Tinder.
L’arnaque a commencé sur Tinder, où un chef de cuisine a matché avec une femme qui l’a présenté à son « oncle », un soi-disant courtier en cryptomonnaies. Ayant misé initialement 850 livres sterling, il a fini par investir 40 000 livres, qu’il n’a jamais pu récupérer lorsque son amoureuse de Tinder et son oncle ont disparu en bloquant tous ses messages.
Conseils pour aider vos clients à ne pas se laisser convaincre par le « butchering »
- Méfiez-vous de toute proposition d’investissement en ligne, surtout venant d’une personne que vous n’avez jamais rencontrée en face à face
- Parlez de toute opportunité d’investissement à votre famille, vos amis ou des professionnels
- Méfiez-vous de toute déclaration enflammée, surtout venant d’une personne que vous ne connaissez pas dans la vraie vie
- Sachez que les escrocs utilisent généralement de fausses photos et de faux profils. Ils ne sont pas les personnes qu’ils prétendent
- Faites attention, prenez votre temps, réfléchissez à deux fois
Arnaques au paiement
La psyché humaine a pour défaut de toujours faire confiance à l’autorité. Ainsi, votre client pourrait être tenté de croire un e-mail émanant apparemment d’une application de paiement, lui communiquant qu’il a reçu un paiement, qu’il existe un excès de paiement, qu’une activité suspecte a été observée sur son compte, qu’il doit vérifier son compte ou autre allégation fantaisiste. Le but est d’inciter la victime à cliquer sur un lien, ou parfois à appeler un numéro où l’escroc utilisera son apparente légitimité en tant qu’employé d’une application de paiement pour soutirer des informations précieuses à des fins frauduleuses.
Il est également possible qu’il lui soit demandé de cliquer sur un lien, qui le mènera vers un faux site Web dont l’adresse et l’apparence semblent légitimes, où il sera demandé à la victime de saisir les identifiants et le mot de passe de son compte. C’est tout ce qu’il faut à l’escroc pour accéder au compte de la victime et l’exploiter.
Conseils pour aider vos client à éviter les arnaques au paiement
- Ne cédez pas à la panique en raison de l’urgence apparente que l’e-mail veut vous faire ressentir
- Prenez le temps de vérifier soigneusement l’e-mail
- Les véritables applications de paiement tendent à utiliser le prénom et le nom du client dans leur correspondance. Est-ce le cas dans cet e-mail ?
Arnaques à la personne disparue
Il s’agit d’une autre arnaque où l’escroc, consciemment ou non, a recours à la psychologie pour attirer sa victime. Il exploite la gentillesse innée et la tendance qu’ont les personnes à suivre et imiter le comportement autrui.
Dans une première publication, l’escroc lance un appel à l’aide pour retrouver une personne disparue. Bien entendu, il s’agit d’une invention. Cependant, certaines personnes aimeront et partageront la publication, augmentant ainsi sa crédibilité.
L’escroc modifiera alors le contenu de sorte que les likes et les partages semblent adressés à un schéma d’investissement et le rendent crédible. Le piège est désormais posé : l’escroc tente de soutirer de l’argent d’investisseurs potentiels suffisamment crédules pour se sentir rassurés par les approbations accordées au post modifié, mais qui ont été « volées » au post original de la personne disparue.
Une analyse plus attentive du récit de la personne disparue révèle certaines incohérences. Par exemple, une de ces arnaques concernait une jeune fille disparue, mais en fonction des versions, elle aurait disparu près de Cambridge ou dans le Pays de Galles. La publication s’accompagnait de la photo d’une jeune fille effectivement disparue, mais dans l’État de l’Ohio, et qui avait été retrouvée depuis.
Conseils pour aider vos clients à éviter les arnaques à la personne disparue
- Tout comme pour le « pig butchering », méfiez-vous de toute proposition d’investissement en ligne, même si celle-ci semble bénéficier d’une large approbation
- Parlez de toute opportunité d’investissement à votre famille, vos amis ou des professionnels
- Faites attention, prenez votre temps, réfléchissez à deux fois
Arnaques à la fausse application
Cette arnaque exploite une faiblesse psychologique émotionnelle.
Une application mobile affichée sur Google Play ou Apple App Store semble légitime simplement parce qu’elle peut être obtenue via un site légitime. Même une fausse application affichée ici remplira souvent une fonction bien réelle. Mais celle-ci n’est qu’un paravent derrière lequel se cache le véritable but de la fausse application : voler les informations personnelles une fois que l’application aura été téléchargée.
L’application « LassPass Password Manager », récemment identifiée et retirée d’Apple App Store et qui bénéficiait de la confiance accordée à l’application LastPass, en est le parfait exemple.
Conseils pour aider vos client à éviter les arnaques à la fausse application
- Méfiez-vous de toute différence de processus lors du téléchargement d’une application : par exemple, de toute redirection vers un autre site ou processus de connexion
- Gardez votre téléphone à jour avec la dernière version du système d’exploitation
- Gardez les applications à jour sur votre téléphone
Récapitulatif
Les arnaques émotionnelles exploitent certaines aspirations profondément humaines comme le besoin d’affection et la confiance en l’autorité. Les escrocs ciblent également les personnes qui ne lisent pas attentivement leurs e-mails ou qui ne prennent pas le temps de détecter de petites différences, des erreurs ou des modifications, par exemple, dans les URL de sites Web ou les sites Web proprement dits.
Ils comptent sur un facteur de honte, qui empêche potentiellement les victimes de parler de l’arnaque à d’autres jusqu’à ce qu’il ne soit trop tard. Pour cette même raison, les victimes pourraient ne pas signaler l’arnaque aux autorités, permettant aux escrocs d’arnaquer d’autres personnes.
Vos conseils pourraient faire toute la différence pour vos clients, qui pourraient éviter de tomber victimes de ces pratiques.