Piratage de compte Facebook : jouons avec un pirate

Pirate informatique

L’expérience interdite : jouer avec un pirate Facebook

Que se passe t’il quand vous répondez à un pirate sur Facebook ? Pourquoi ces petits malins s’amusent à pirater votre compte ? J’ai tenté l’expérience de me laisser approcher par l’un d’eux…

 

Le piratage de compte Facebook

Tout commence par une simple demande de contact. Une dame de ma région demande à faire partie de mes amis. Elle évolue dans un secteur professionnel que je connais et nous avons déjà pas mal de connaissances en commun. En plus son nom ne m’est pas inconnu, donc pas de quoi se méfier. J’accepte la demande de contact… situation banale que nous avons tous vécus.

Attention mon compte Facebook a été piraté !

Quelques minutes plus tard je vois un message de cette dame, qui écrit à partir d’un autre compte, et qui indique a ses contacts de se méfier car elle a été victime d’un piratage de compte Facebook. Excellent réflexe de sa part !

Ca tombe bien, il y a un moment que j’avais en tête de faire un article sur ce sujet… je regarde son profil, et ne constate rien d’anormal. Pas de message déplacé, pas de lien vers un site pornograhique ou illégal.

Peu après la fenêtre Messenger s’ouvre, et le compte piraté tente d’engager la discussion.

Ne faites pas ça !

La discussion commence par un banal « Comment vas tu ?« . A priori pas de quoi être méfiant… sauf que j’ai l’info selon laquelle le compte a été piraté, et que je ne connais pas cette dame.

A ce stade je suis à peu prés certain que je ne discute pas avec la propriétaire du compte, mais avec un hacker. J’attaque donc sur un banal « Bien et toi ?« . De quoi laisser espérer au pirate que je connais ma correspondante.

un compte Facebook piraté me contacte

En blanc : le pirate – En bleu : moi

La réponse va dans le sens que j’attendais… mon interlocutrice ne va vraiment pas bien. Soit elle avait envie de le dire à un inconnu, soit c’est une tentative d’arnaque… histoire de lever le dernier voile de doute j’attaque au bluff en lui parlant de sa soeur.

Vérification d’identité

Un bon pirate se doit avant tout d’être bien renseigné. Quelques secondes après que le contact soit établit je reçoit un appel sur mon téléphone du numéro 09 79 99 75 75.

Je me présente, personne au bout du fil. Quelques secondes plus tard la conversation est coupée.

Difficile à vérifier, mais le timing me semble trop précis pour qu’il s’agisse d’une coïncidence. Mon numéro figure sur mon compte Facebook, je suis à peu prés sur que le pirate tentait de vérifier mon identité.

Le pirate mord à l’hameçon

Persuadé d’avoir ferré un gogo le pirate déroule son script et me sort une histoire bidon d’opérateur téléphonique. Bah oui, comme nous sommes super potes depuis environ 3 minutes c’est forcément vers moi que cette dame se tourne pour lui débloquer son téléphone !

A ce stade je dois vous avouer que je m’attendais à ce qu’elle me fasse le coup du « je suis bloquée à l’étranger, on m’a volé ma carte bancaire, est-ce que tu peux m’envoyer un mandat ?« … autre arnaque classique sur internet.

Piratage de compte Facebook : Le coup du téléphone bloqué

En blanc : le pirate – En bleu : moi

Je continue à jouer mon rôle de pigeon, et je fais preuve d’un peu de compassion histoire de maintenir la confiance. Si si, c’est important pour un pirate la confiance !

Le coup du numéro gratuit

Le pirate tarde a me répondre, alors je le relance un peu… c’est vrai qu’il doit avoir du boulot s’il déroule la même histoire à 10 personnes en même temps.

L’arnaque se met en place : il faut que j’appelle 3 fois un numéro « gratuit » en 0890… je ne suis pas idiot, je sais parfaitement qu’il s’agit d’un numéro surtaxé. De plus l’explication me fait bien sourire… pour obtenir un code je dois téléphoner 3 fois au même numéro. Normal non ?

Phishing facebook

En blanc : le pirate – En bleu : moi

Je joue le jeu en lui faisant croire que j’appelle le numéro. Bien sûr c’est faux, pas besoin d’enrichir celui qui se cache derrière le 0890 00 02 16 et s’enrichit de la crédulité et du bon coeur des gens. Surtout n’appelez pas ce genre de numéros !

Histoire de poursuivre l’expérience je relance au bluff en prétextant que le numéro ne fonctionne pas. J’imagine que lorsque l’on appelle soit on tombe sur un message bidon pour nous faire patienter, soit ça raccroche de suite. Je tends même une grosse perche au pirate en me proposant de rappeler. A ce stade il doit être persuadé de tenir un champion du monde !

 

Arnaquons le pirate

Maintenant que j’ai bien mis en confiance mon pirate… à moi d’essayer de le piéger.

Je lui indique que mon appel au 0890 a fonctionné et qu’il peut appeler le 03 21 06 00 17 pour que l’on s’occupe de lui. C’est quoi ce numéro ? Celui de la gendarmerie d’Ecuires… Je n’ai dit que la vérité, ils s’occupent de gens comme lui  😛

Le pirate se fait avoir

En blanc : le pirate – En bleu : moi

Mon pirate ne comprends pas… il relance son arnaque et tente de me faire rappeler 2 fois le numéro surtaxé.

Le pirate ne comprends plus

Mon nouvel ami le pirate Facebook me demande un code… je lui renvoie donc le numéro de la gendarmerie, écrit différemment.

Là il ne comprends plus… j’essaye à mon tour le coup du numéro gratuit  😀

Pirate ferré

En blanc : le pirate – En bleu : moi

Le hacker joue le jeu en me disant que ça ne fonctionne pas. A ce stade il doit avoir un doute sur son correspondant, mais ne peut pas se permettre de perdre la face. En plus on ne sais jamais, il lui reste peut être une chance de me relancer sur son numéro payant.

Coulons le pirate…

Je poursuis sur ma lancée et n’hésites pas à utiliser la même méthode que le pirate Facebook en lui demandant de rappeler la gendarmerie… silence radio…

Je laisse passer quelques minutes, et je porte le coup final en lui demandant son numéro de carte bancaire…

Touché, coulé !

En bleu : moi

Fin de l’échange, mon ami pirate de compte Facebook ne répond plus… il doit bouder en se disant que je l’ai baladé pendant 20 minutes pour rien. Pas sympa de ma part, pendant ce temps là il aurait probablement eu le temps de trouver quelqu’un d’assez crédule pour marcher dans sa combine.

Moralité de l’histoire

Ces petites tentatives d’arnaques se classent dans ce que l’on appelle le « phishing » (de l’anglais « fish » = « poisson »). L’escroc balance une histoire plus ou moins plausible à des dizaines, centaines, ou milliers de personnes. Dans le lot quelques personnes vont mordre à l’appât et il ne reste au pirate qu’à dérouler son histoire pour en ferrer un ou deux qui passeront à la caisse.

Dans le cas présent le pirate se contente de quelques appels sur un numéro surtaxé. Sur un 0890 peut aller jusqu’à 3 € par appel, le pirate tente donc de vous prendre 9  $, et un peu plus si vous accrochez bien à son histoire. Comme vous ne le remarquerez qu’en fin de mois sur votre facture téléphonique vous ne saurez peut-être plus de où ça vient et le montant reste faible. Bref pas de quoi porter plainte.

tarif numéros surtaxés

Exemple de tarification des numéros surtaxés

Pour la dame dont le compte Facebook a été piraté… il n’y a pas vraiment de mal, son compte n’a pas changé. Facebook c’est gratuit… donc pourquoi porter plainte ?

Par contre si le pirate répète son opération plusieurs dizaines de fois par jour, cela peut générer des milliers d’euros de revenus. L’arnaque est bien réelle !

Que font les opérateurs ?

Obtenir un numéro en 0890 ne se fait pas comme ça… il faut montrer patte blanche et disposer d’une société, avec un registre du commerce. C’est du moins ce que je pensais.

Et bien non… en cherchant un peu sur internet vous pouvez trouver des services qui vous proposent facilement d’ouvrir une ligne surtaxée que vous soyez professionnel ou particulier

Comment créer un numéro surtaxé

 

Les opérateurs semblent peu soucieux de savoir comment seront utilisés ces numéros. Et pour cause, ils se rémunèrent eux aussi sur les appels. Il est bien plus confortable pour eux de considérer qu’ils ne peuvent pas savoir ce que fait leur client, que de se poser la question au risque de se priver d’un revenu facile.

Que fait la police ?

Difficile pour elle de traquer ces petits arnaqueurs. Peu de victimes de piratage de compte Facebook vont déposer plainte. Les consommateurs qui se sont vus prélever des sommes sur leur facture téléphonique ne jugent pas utile de le signaler. Et Facebook ne permet pas de signaler clairement qu’un compte est sous le contrôle d’un pirate…

Le conseil final

Méfiez vous de vos amis, de votre banque, de votre assureur, de votre fournisseur d’électricité, de Facebook, Twitter… s’ils vous demandent de téléphoner quelque part, s’ils vous demandent un mot de passe, s’ils vous demandent un numéro de carte bancaire,… c’est probablement une arnaque.

Si vraiment vous avez un doute, prenez votre téléphone, et appelez votre correspondant sur son numéro habituel pour vérifier ce qu’il vous demande. Avec un contact humain il sera beaucoup plus difficile de vous tromper !

 

Crédit photo : Code projected onto man’s face via photopin (license)