Arnaques en ligne : plus de victimes chez les 30-49 ans, plus de pertes chez les seniors

Arnaques en ligne : plus de victimes chez les 30-49 ans, plus de pertes chez les seniors

FBaïe

Avatar de l'auteur

Jean-Marc Manach

Publié dansDroit

15/03/2023
7
Arnaques en ligne : plus de victimes chez les 30-49 ans, plus de pertes chez les seniors

Le dernier rapport annuel de l'Internet Crime Complaint Center (IC3) du FBI indique qu'aux États-Unis, les personnes de plus de 60 ans sont celles qui perdent le plus d'argent sur Internet, mais également que celles de 30 à 49 ans sont les plus nombreuses à se déclarer victimes d'arnaques en ligne.

Dans son rapport annuel 2022, l'Internet Crime Complaint Center (IC3) du FBI explique avoir reçu l'an passé 800 944 plaintes, soit 5 % de moins qu'en 2021. A contrario, les pertes potentielles associées sont, elles, passées de 6,9 à 10,2 milliards de dollars, soit + 48 %. À titre de comparaison, l'IC3 n'avait reçu que 351 937 plaintes il y a cinq ans, en 2018, pour un montant de préjudices potentiels estimé à 2,7 milliards de dollars.

I3C

Le phishing est encore la principale cause de plaintes (plus de 300 000, contre près de 323 000 en 2021), suivi par les fuites de données personnelles (près de 59 000), les absences de paiements ou de livraisons (51 679), l'extorsion (39 416), les fraudes au support informatique (32 538) et faux investissements (30 529), les vols d'identité (30 000), les fraudes aux cartes de paiement et chèques (23 000), les compromissions de messageries professionnelles (Business Email Compromise, BEC, 22 000), le spoofing (20 649) et les escroqueries sentimentales (19 021).

En termes de préjudice, les faux investissements arrivent largement en tête, avec un potentiel de pertes de 3,3 milliards de dollars, suivis par les BEC (2,7 Mds), ces deux escroqueries ayant, à elles seules, représenté plus de la moitié des pertes signalées l'an passé, et les seules à se chiffrer en milliards de dollars.

I3CI3C

Suivent les fraudes au support informatique (806 M$), fuites de données personnelles (742 M$), escroqueries sentimentales (736 M$), fuites de données (459 M$), les escroqueries immobilières (397 M$), les absences de paiements ou de livraisons (282 M$), les fraudes aux cartes de paiement et chèques (264 M$), l'usurpation d'identité du gouvernement (241 M$) et l'usurpation d'identité (189 M$).

870 infrastructures critiques victimes de rançongiciels

Les pertes dues aux rançongiciels (34 535 237 dollars seulement) figurent en bas du classement, mais le FBI précise qu'elles n'incluent pas les estimations de « pertes d'activité, de temps, de salaire, de fichiers ou d'équipement, ni les services de remédiation tiers acquis par une victime », mais également que « toutes les personnes ayant subi un incident de ransomware ne l'ont pas signalé à l'IC3 », ce qui expliquerait aussi pourquoi le nombre d'incidents de ransomware signalés a diminué : 

« Dans certains cas, les victimes ne signalent aucun montant de perte au FBI, créant ainsi un taux de perte global de ransomware artificiellement bas. Enfin, le nombre représente uniquement ce que les victimes rapportent au FBI via l'IC3 et ne tient pas compte du signalement direct des victimes aux bureaux/agents du FBI sur le terrain. »

I3C

En 2022, l'IC3 n'a ainsi reçu que 2 385 plaintes de victimes de rançongiciels. 870 (soit 36,5 %) émanaient d'organismes relevant d'un des 16 secteurs d'infrastructure critique, dont 210 du secteur de la santé, 157 de la fabrication de produits critiques, 115 d'instances gouvernementales, 107 des technologies de l'information, et 88 des services financiers.

+183 % d'escroqueries aux cryptoactifs

En tête du classement des pertes potentielles, les plaintes pour fraudes en matière d'investissement « sont passées de 1,45 milliard de dollars en 2021 à 3,31 milliards de dollars en 2022, soit +127 % », pour 30 529 plaintes seulement.

L'IC3 souligne qu'elles sont en partie dues aux escroqueries relevant des cryptoactifs, qui sont en effet passées « de 907 millions de dollars en 2021 à 2,57 milliards de dollars en 2022, soit une augmentation de 183 % » : 

« De nombreuses victimes se sont endettées massivement pour couvrir les pertes liées à ces investissements frauduleux et le groupe d'âge le plus ciblé par ce type d'escroquerie est celui des victimes âgées de 30 à 49 ans. »

I3C

L'IC3 rapporte plusieurs grandes tendances constatées en 2022 : 

  • les plateformes de « yield farming », ou « liquidity mining », incitent les spéculateurs à transférer leurs cryptoactifs chez elles afin de maximiser leurs profits. Ceux-ci intègrent en effet la valeur des jetons reçus en récompense... avant que les escrocs ne dérobent les portefeuilles ;
  • le piratage de comptes sur les réseaux sociaux, afin de promouvoir des investissements frauduleux auprès des abonnés des comptes piratés ;
  • l'usurpation d'identité de célébrités sur ces mêmes réseaux sociaux, afin de profiter de leur notoriété pour, soi-disant, « apprendre comment investir dans les crypto-monnaies » ;
  • les fausses offres d'emploi dans de prétendues sociétés de conseils en matière d'investissement, ou fausses annonces immobilières, en vue d'escroquer les prétendants.

De l'importance de l'authentification à deux ou plusieurs facteurs

Les compromissions de messageries professionnelles (Business Email Compromise, BEC), seconde source de pertes les plus importantes (2,7 milliards de dollars, pour 21 832 plaintes seulement) sont, de leur côté, passées « du simple piratage ou de l'usurpation d'identité de comptes de courrier électronique professionnels et personnels à une demande d'envoi de virements électroniques vers des comptes bancaires frauduleux ».

« Dans le passé », explique l'IC3, les escrocs envoyaient des courriels de fournisseurs compromis, des demandes d'informations W-2 (le « relevé des salaires et impôts » utilisé par le fisc américain), ciblaient le secteur de l'immobilier ou spammaient des demandes frauduleuses de cartes-cadeaux :

« Plus récemment, les fraudeurs utilisent plus fréquemment des comptes de dépôt détenus par des institutions financières pour des échanges de crypto-monnaies, ou demandent aux victimes d'envoyer des fonds directement sur des plateformes de crypto-monnaies où les fonds sont rapidement dérobés. »

Une autre tactique « de plus en plus répandue » consiste à usurper des numéros de téléphone professionnels légitimes pour demander aux victimes de confirmer des transferts bancaires frauduleux : 

« Par exemple, les victimes déclarent avoir appelé une société de titres, un agent immobilier, etc., en utilisant un numéro de téléphone connu, et découvrent plus tard que le numéro de téléphone a été usurpé. Cette tactique accrue de numéros de téléphone "usurpés" souligne l'importance de l'authentification à deux ou plusieurs facteurs en tant que mesure de sécurité supplémentaire. »

Les banques rappellent à ce titre que leurs conseillers ne réclament jamais à leurs clients leurs identifiants ou mots de passe par téléphone ou courriels, et leur conseillent, s'ils sont contactés sans l'avoir sollicité, de ne pas répondre aux impétrants, et de contacter leurs établissements pour s'assurer qu'il ne s'agit pas d'une usurpation d'identité.

Les plus de 60 ans particulièrement ciblés par les faux call centers

L'IC3 n'a recensé l'an passé que 11 554 victimes de centres d'appels illégaux se faisant passer pour des entités gouvernementales, et 32 538 victimes de faux supports techniques, mais en hausses respectives de 68 et 132 %, totalisant plus 1 milliard de dollars de pertes.

Ils cibleraient majoritairement les personnes âgées, « ce qui a des effets dévastateurs » : près de la moitié des victimes déclarent avoir plus de 60 ans (46 %), mais ils subissent 69 % des pertes (plus de 724 millions de dollars). 

I3C

Ces escroqueries émaneraient principalement de centres d'appels situés en Asie du Sud, « notamment en Inde ». L'IC3 ne donne pas de chiffres, mais précise néanmoins qu'en 2022, les services de police indiens ont effectué, avec l'aide de leurs confrères américains, « de nombreuses descentes dans des centres d'appel, perturbé, saisi et arrêté des personnes soupçonnées d'être impliquées dans ces cybercrimes financiers et ces fraudes au télémarketing à l'échelle mondiale ».

Installez des adblockers pour vous prémunir du malvertising

L'IC3 renvoie également à 3 messages d'intérêt public (Public Service Announcements, PSA) publiés en 2022 à ce sujet.

Le premier, consacré à l'usurpation d'identité des forces de l'ordre et des représentants du gouvernement, revient sur les modus operandi de ces escroqueries exigeant généralement le paiement d'amendes, frais ou taxes divers et variés « sous diverses formes, les plus répandues étant les cartes prépayées, les virements électroniques et les espèces, envoyés par la poste ou insérés dans des guichets automatiques de crypto-monnaies » :  

« Les escrocs utilisent un ton urgent et agressif, refusent de parler ou de laisser un message à toute autre personne que la victime ciblée, et exhortent les victimes à ne parler de ce qui se passe à personne d'autre, y compris à leur famille, à leurs amis ou à leurs institutions financières. »

Le second revient sur les fraudes au support technique prétendant apporter une assistance censée « résoudre des problèmes tels qu'un e-mail ou un compte bancaire compromis, un virus sur un ordinateur ou un renouvellement de licence logicielle ».

En matière d'assistance bancaire ou de co-voiturage notamment, les victimes sont « généralement contactées par téléphone ou par SMS pour leur signaler un problème sur leur compte », les escrocs tentant de les persuader d'autoriser l'accès à leur ordinateur et à leur compte bancaire pour, soi-disant, « corriger le problème ».

En tout état de cause, l'IC3 conseille d'installer « un logiciel de blocage des publicités pour réduire le nombre de pop-ups et de malvertising (publicité en ligne visant à propager des logiciels malveillants) », et bien évidemment de veiller à ce que toutes les protections antivirus, de sécurité et contre les logiciels malveillants soient à jour.

L'IC3 appelle également à se méfier des sites web et numéro de téléphone figurant dans les résultats « sponsorisés » des moteurs de recherche, de plus en plus utilisés pour diffuser du « malvertising ».

Résistez à la pression qui vous pousse à agir rapidement

La troisième alerte revient plus en détail sur les escroqueries au sujet de soi-disant renouvellements imminents d'abonnements, « généralement dans les prochaines 24 heures, pour un service tel qu'un plan de protection de l'ordinateur ou une garantie » proposée par une grande chaîne de magasins : 

« Les escrocs demandent aux victimes de les contacter à un numéro de téléphone ou à un courriel fourni pour annuler le renouvellement et recevoir un montant de remboursement variable. Une fois que les victimes ont contacté les escrocs, ceux-ci tentent d'obtenir des informations personnelles et bancaires qui sont ensuite utilisées pour effectuer des virements électroniques non autorisés de fonds détenus sur les comptes des victimes ciblées. Les victimes ciblées font généralement partie de la population âgée. »

Les escrocs peuvent également inciter les victimes à télécharger un logiciel de prise de contrôle à distance « afin de fournir une assistance technique efficace et d'entamer la procédure de remboursement », y compris en proposant un montant de remboursement plus élevé en vue de les persuader de leur permettre d'accéder à leurs ordinateurs.

En tout état de cause, l'IC3 prodigue un certain nombre de conseils (voir aussi les cybermenaces et bonnes pratiques de cybermalveillance.gouv.fr) : 

  • « résistez à la pression qui vous pousse à agir rapidement. Les escrocs prospèrent en semant la panique chez leurs victimes ;
  • n'effectuez PAS de virement bancaire, en particulier vers des banques étrangères, sur les instructions d'une personne à qui vous n'avez parlé qu'en ligne ou par téléphone ;
  • ne répondez pas à des courriels inattendus concernant des services non sollicités ou des services que vous n'avez pas achetés ;
  • ne téléchargez pas de logiciels que vous ne connaissez pas, ou à partir de sites web non officiels (et) n'accordez pas d'accès à distance à votre ordinateur à des personnes ou entités inconnues ;
  • ne fournissez pas d'informations bancaires ou d'identification personnelle (date de naissance, numéro de sécurité sociale, adresse) par courrier électronique ou par téléphone ;
  • surveillez les transactions de votre carte de crédit et de votre compte bancaire pour détecter toute activité non autorisée et contactez immédiatement votre institution financière si vous observez une activité irrégulière ou non autorisée. »

Les 30-49 ans comptent le plus grand nombre de victimes

Le journaliste spécialisé Catalin Cimpanu évoque dans sa newsletter Risky Biz News un autre type d'escroquerie, le « Pig Butchering » (dépeçage de cochons, en français), ou « Fraud factory », reposant pour certaines sur le travail forcé de réfugiés asiatiques ou africains esclavagisés, et consistant à approcher leurs victimes via des sites de rencontres, déplacer les conversations vers d'autres plateformes plus privées afin de leur proposer de participer à un soi-disant « investissement commun », ou d'acheter des crypto-monnaies. 

Mais ce qui étonne le plus Catalin Cimpanu est de découvrir que la tranche d'âge la plus visée par les escroqueries à l'investissement est celle des 30-49 ans, celle-là même qui a pourtant, a priori, le plus d'expérience sur Internet, « et qui a très probablement été témoin de nombreuses escroqueries à l'investissement similaires » : 

« La génération "Bonjour, je suis un prince nigérian et j'ai besoin d'aide pour revenir de l'orbite" semble avoir une amnésie collective en ce qui concerne les investissements cryptographiques et les réponses des médias sociaux - apparemment ! »

I3C

Si les 88 262 plaignants de plus 60 ans sont ceux qui ont enregistré les pertes les plus importantes (un peu plus de 3 milliards de dollars), l'IC3 dénombre en effet 94 506 plaignants de 30 à 39 ans et 87 256 de 40 à 49, totalisant respectivement 1,3 et 1,6 milliard de dollars de pertes.

À titre de comparaison, les 64 551 plaignants de 50 à 59 ans ont perdu 1,8 milliard, contre 383 millions seulement pour les 57 978 plaignants de 20 à 29 ans, certes moins dotés financièrement.

Plus de sept millions de plaintes depuis l'an 2000

L'IC3 explique que son équipe de récupération des actifs (Recovery Asset Team, RAT), créée en 2018 afin de faciliter le gel des fonds de sorte d'essayer de rembourser les victimes, a constaté une augmentation de « 64 % du nombre de plaintes pour escroquerie par rapport à 2021 » : 

« En 2022, le RAT a initié sa chaîne d'élimination des fraudes financières (Financial Fraud Kill Chain - FFKC) suite à 2 838 plaintes portant sur des attaques par compromission de messagerie professionnelle (BEC) totalisant des pertes potentielles de plus de 590 millions de dollars, et parvenant à en bloquer 433 millions, soit un taux de réussite de 73 % ».

I3C

L'IC3, créé en mai 2000 pour recevoir des plaintes couvrant l'ensemble des questions cybernétiques, explique en avoir reçu plus de sept millions depuis lors, et appelle les victimes à porter plainte, et signaler les escroqueries dont elles auraient été l'objet, « car ces informations précieuses aident à combler les lacunes qui sont cruciales pour faire avancer nos enquêtes » : 

« Les informations soumises à l'IC3 peuvent avoir un impact dans les plaintes individuelles, mais c'est dans l'ensemble qu'elles ont le plus d'impact. En effet, lorsque ces plaintes individuelles sont combinées à d'autres données, elles permettent au FBI de relier les plaintes, d'enquêter sur les délits signalés, de suivre les tendances et les menaces et, dans certains cas, de geler les fonds volés. »

Dans sa FAQ, l'IC3 précise qu'elle peut être saisie « si vous ou le sujet présumé du crime sur Internet se trouve aux États-Unis, quelle que soit votre nationalité ».

7
Avatar de l'auteur

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 0
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Incitation à la LCEN

16:41 Droit 6
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Site de Q

14:17 IA 10

Sommaire de l'article

Introduction

870 infrastructures critiques victimes de rançongiciels

+183 % d'escroqueries aux cryptoactifs

De l'importance de l'authentification à deux ou plusieurs facteurs

Les plus de 60 ans particulièrement ciblés par les faux call centers

Installez des adblockers pour vous prémunir du malvertising

Résistez à la pression qui vous pousse à agir rapidement

Les 30-49 ans comptent le plus grand nombre de victimes

Plus de sept millions de plaintes depuis l'an 2000

Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 0
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 6
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 2

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 12

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 6
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 29
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 37
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 7

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 9
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 37
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 6
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 67
Nuage (pour le cloud) avec de la foudre

Cloud : Google demande au régulateur britannique d’enquêter sur Microsoft

Droit 13

Ariane 6 sur son pas de tir

Ariane 6 : premier décollage à l’été 2024

Science 7

La Grande Mosquée se détache devant les toits des maisons de Jérusalem.

Conflit Israël-Hamas : 349 marques financent la désinformation via la publicité programmatique

Web 4

Logo de Nextcloud

Nextcloud rachète la solution open-source de webmail Roundcube

ÉcoWeb 9

Logo de Steam

Steam va abandonner le support de macOS 10.13 et 10.14

Soft 6

Commentaires (7)


Fab'z Abonné
Il y a 9 mois

On pas mal de mails pourri du crédit agricole cette semaine. Des serveurs cloudflares japonais liés au domaine xrea.com sont utilisés. Je bloque des plages entières d’IP ^^ je m’embête même plus… puisque demain ça viendra d’ailleurs de toute façon. :craint:


yvan Abonné
Il y a 9 mois

Les 40 49 ans c’est la génération qui a eu internet à l’âge adulte uniquement, généralement pour faire des trucs légaux, donc ce sont potentiellement des gens qui passent beaucoup de temps en ligne mais sans avoir fait/vu de conneries en ligne adolescents.



Ca ne m’étonne pas tellement personnellement.



Ca m’étonne bien plus de la part des 30-39 qui ont l’air encore plus stupides que nous bien que moins riches :transpi:



Félicitation aux 20-29 qui nous font progresser il semblerait :bravo:


eglyn Abonné
Il y a 9 mois

mouais, est-ce que les 30-50 ne seraient pas plus ciblés également ? car ils ont potentiellement plus d’argent ?


yvan Abonné
Il y a 9 mois

eglyn

mouais, est-ce que les 30-50 ne seraient pas plus ciblés également ? car ils ont potentiellement plus d’argent ?

C’est très possible oui.


univ_paris Abonné
Il y a 9 mois

Ce serait bien qu’on ait un IC3 en France.
On a bien cybermalveillance.gouv.fr, qui fait un super travail de prévention. Mais à part indiquer un prestataire près de chez soi, ils n’ont pas d’activité de type gel des fonds des malfaiteurs, aucun pouvoir de poursuite, et se contentent de transmettre les dossiers au procureur.
Et je souhaite bien du plaisir à celui qui saura identifier à quels services de police ou de gendarmerie s’adresser en cas d’escroquerie, sans compter PHAROS, THESEE, PERCEVAL, signal-spam, phishing-initiative, …, et sans oublier CNIL et ANSSI.
Un point d’entrée unique serait le bienvenu.


cestpaschouette Abonné
Il y a 9 mois

eglyn a dit:


mouais, est-ce que les 30-50 ne seraient pas plus ciblés également ? car ils ont potentiellement plus d’argent ?




Sans compter qu’on n’a pas non plus le rapport avec les effectifs totaux des populations de chaque tranche d’âges…


gavroche69 Abonné
Il y a 9 mois

“Plus de pertes chez les seniors”
Ne serait-ce pas dû à l’incontinence ? :fumer: