Les grands services bancaires simplifient le processus de demande d’argent, mais cela profite autant aux utilisateurs qu’aux malfaiteurs
L’un des membres de notre conseil d’administration vient de nous signaler un e-mail qui pourrait correspondre à une tentative de spear phishing (harponnage). Provenant de PayPal, l’e-mail demande à son destinataire d’envoyer de l’argent.
Totalement inattendu, cet e-mail est tout à fait suspect. Pourtant, si on y regarde de plus près, il s’agit bien d’un message de PayPal. Pour élucider le mystère, j’ai réactivé mon vieux compte PayPal pour voir d’où pouvait venir ce message.
J’ai retrouvé mon mot de passe dans les tréfonds de ma mémoire et atterri sur la page d’accueil de mon compte.
En haut à droite de l’écran, un bouton a immédiatement retenu mon attention : « Demander ». J’ai cliqué dessus et un guide m’a informé que je pouvais envoyer une demande de paiement à 20 personnes en même temps. Alors, j’ai essayé. J’ai demandé à un collègue de m’envoyer 500 dollars, mais pour être sûr qu’il ne le fasse pas, j’ai délibérément inclus un message suspect.
Une fois les champs renseignés, il suffit de cliquer sur le bouton « Demander de l’argent » pour envoyer la demande par e-mail.
En plus d’être simple et intuitif, ce processus est très pratique (pour le meilleur et pour le pire) car les destinataires des demandes peuvent envoyer de l’argent même s’ils ne sont pas inscrits sur PayPal : tant qu’ils ont une carte bancaire valide et les fonds suffisants, ça marche. Si le paiement n’arrive pas assez vite, je peux envoyer un petit rappel en cliquant sur « Envoyer un rappel ». Le rappel est alors généré automatiquement et envoyé.
Attention, PayPal n’est pas le seul sur le marché. Je me suis souvenu d’une autre application similaire, Revolut. Je suis donc allé vérifier, et bingo : Là aussi, on peut demander de l’argent aux autres (en anglais). C’est un peu pareil que sur PayPal, à une différence près : Revolut n’envoie aucun message en votre nom. Il génère un lien que vous pouvez distribuer vous-même. Cette option est légèrement meilleure, car en ingénierie sociale, il est plus difficile de tromper une personne lorsqu’aucune marque de confiance n’est affichée.
Après une rapide recherche, j’ai découvert que Venmo proposait un service similaire. Je n’ai pas de compte Venmo, mais selon leur FAQ, il n’y a pas besoin de faire vérifier son identité pour demander des sommes inférieures à 299 dollars. Idéal pour les malfaiteurs qui préfèrent ne pas révéler leur véritable identité.
Et alors ?
La simplicité du processus proposé par PayPal, Revolut, Venmo et sûrement bien d’autres services, a l’avantage de faciliter la vie des utilisateurs. Mais en même temps, ce processus permet aux malfaiteurs d’induire les gens en erreur pour qu’ils paient sans savoir pourquoi. Pour cette expérience, j’ai fait exprès de rédiger un message peu convaincant, mais un expert en ingénierie sociale pourrait très bien rédiger un message d’alerte sur des impôts ou factures impayés, par exemple.
Comment sécuriser ses demandes et transferts d’argent
La conclusion de cet article est simple : n’envoyez pas d’argent à qui que ce soit sans être absolument sûr de son identité et du motif de sa demande. Le mieux est de vérifier toutes les demandes de paiement auprès du demandeur, via un autre canal de communication (téléphone, etc.).
Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.