En août dernier, Revolut communiquait longuement sur son blog au sujet des différentes arnaques dont ses clients sont victimes – phishing et SIM Swap en premier lieu. Dans les deux cas, il s’agit de techniques frauduleuses utilisées par les hackers pour obtenir des renseignements afin d’usurper l’identité de leurs victimes.
Dans le cas d’un Revolut, les pirates accèdent ainsi directement aux comptes bancaires des clients et les siphonnent en l’espace de quelques minutes. La prudence est donc de mise lorsqu’il s’agit de partager des identifiants sensibles, que ce soit pour une banque en ligne, une banque mobile ou tout autre service qui implique des informations critiques.
Un premier SMS frauduleux
Bien souvent, le phishing commence par un simple email ou un SMS (frauduleux). Comme l’explique Revolut dans son article de blog, aucun employé de la société (y compris dans le chat officiel) ne vous demandera vos coordonnées bancaires, identifiants de connexion ou autre code PIN. Il faut donc bien garder cela à l’esprit, et ignorer toute sollicitation d’un tiers qui exigerait ces détails sensibles.
Ce matin, j’ai été confronté à une tentative de phishing très classique. Le premier contact a été un SMS (d’un numéro inconnu) dans lequel le pirate usurpait l’identité de Revolut en me demandant de sécuriser mon compte. Pour cela, il m’a demandé de visiter un (faux) site internet, non sécurisé et usurpant le nom de domaine de la néo-banque. Comme vous pouvez le constater, il s’agissait d’une URL distincte de celle de Revolut (revolut.com) : revolut-secure.net.
© Presse-citron.net
Dès lors qu’un tel message vous est envoyé, le premier réflexe à avoir est d’ignorer la demande. Toutefois, pour vous montrer comment les pirates s’y prennent dans le cas d’un phishing chez Revolut, nous avons décidé de suivre leur procédure (avec évidemment de fausses informations !).
Le piège se referme
En cliquant sur le lien indiqué dans le SMS, on arrive donc sur un site qui reprend la charte graphique (en version bas de gamme…) de Revolut. L’interface ne va pas sans rappeler le formulaire d’inscription aux services de la néo-banque. Voici maintenant les 6 étapes qui vont permettre aux hackers d’accéder à votre compte Revolut en toute simplicité et sans aucun obstacle.
Première étape : Entrer le numéro de téléphone associé au compte Revolut.
© Presse-citron.net
Deuxième étape : Entrer son code PIN.
© Presse-citron.net
Troisième étape : Entrer les 4 derniers chiffres de sa carte.
© Presse-citron.net
Quatrième étape : Entrer le code CVV (dos de la carte)
© Presse-citron.net
Cinquième étape : Entrer votre adresse email.
© Presse-citron.net
Sixième étape : Entrer le mot de passe de son compte email.
© Presse-citron.net
Comme vous l’aurez compris, les pirates auront réussi en quelques secondes à vous extorquer vos identifiants pour accéder à votre compte Revolut sans difficulté. Si l’arnaque semble assez « évidente » pour certains, elle ne l’est pas pour tout le monde – et il faut toujours rester très vigilant. Les escrocs n’hésitent pas à renvoyer en dernier lieu leurs victimes vers l’application officielle de Revolut : certains ne remarqueront donc même pas qu’ils ont été piratés.
© Presse-citron.net
Si les attaques par phishing se ressemblent toutes sur le principe, elles ont généralement chacune leurs spécificités qui peuvent vite semer le doute – même auprès des plus aguerris. Au fil du temps, les pirates ont toujours plus de moyens pour affiner et crédibiliser leurs stratégies pour atteindre des cibles toujours plus lucratives. Il faut donc être très vigilant, quel que soit votre niveau d’expertise, pour ne pas tomber dans le piège.