Le dernier rapport annuel de l'Internet Crime Complaint Center (IC3) du FBI indique qu'aux États-Unis, les personnes de plus de 60 ans sont celles qui perdent le plus d'argent sur Internet, mais également que celles de 30 à 49 ans sont les plus nombreuses à se déclarer victimes d'arnaques en ligne.

Dans son rapport annuel 2022, l'Internet Crime Complaint Center (IC3) du FBI explique avoir reçu l'an passé 800 944 plaintes, soit 5 % de moins qu'en 2021. A contrario, les pertes potentielles associées sont, elles, passées de 6,9 à 10,2 milliards de dollars, soit + 48 %. À titre de comparaison, l'IC3 n'avait reçu que 351 937 plaintes il y a cinq ans, en 2018, pour un montant de préjudices potentiels estimé à 2,7 milliards de dollars.

Le phishing est encore la principale cause de plaintes (plus de 300 000, contre près de 323 000 en 2021), suivi par les fuites de données personnelles (près de 59 000), les absences de paiements ou de livraisons (51 679), l'extorsion (39 416), les fraudes au support informatique (32 538) et faux investissements (30 529), les vols d'identité (30 000), les fraudes aux cartes de paiement et chèques (23 000), les compromissions de messageries professionnelles (Business Email Compromise, BEC, 22 000), le spoofing (20 649) et les escroqueries sentimentales (19 021).

En termes de préjudice, les faux investissements arrivent largement en tête, avec un potentiel de pertes de 3,3 milliards de dollars, suivis par les BEC (2,7 Mds), ces deux escroqueries ayant, à elles seules, représenté plus de la moitié des pertes signalées l'an passé, et les seules à se chiffrer en milliards de dollars.

Suivent les fraudes au support informatique (806 M$), fuites de données personnelles (742 M$), escroqueries sentimentales (736 M$), fuites de données (459 M$), les escroqueries immobilières (397 M$), les absences de paiements ou de livraisons (282 M$), les fraudes aux cartes de paiement et chèques (264 M$), l'usurpation d'identité du gouvernement (241 M$) et l'usurpation d'identité (189 M$).

870 infrastructures critiques victimes de rançongiciels

Les pertes dues aux rançongiciels (34 535 237 dollars seulement) figurent en bas du classement, mais le FBI précise qu'elles n'incluent pas les estimations de « pertes d'activité, de temps, de salaire, de fichiers ou d'équipement, ni les services de remédiation tiers acquis par une victime », mais également que « toutes les personnes ayant subi un incident de ransomware ne l'ont pas signalé à l'IC3 », ce qui expliquerait aussi pourquoi le nombre d'incidents de ransomware signalés a diminué : 

« Dans certains cas, les victimes ne signalent aucun montant de perte au FBI, créant ainsi un taux de perte global de ransomware artificiellement bas. Enfin, le nombre représente uniquement ce que les victimes rapportent au FBI via l'IC3 et ne tient pas compte du signalement direct des victimes aux bureaux/agents du FBI sur le terrain. »

En 2022, l'IC3 n'a ainsi reçu que 2 385 plaintes de victimes de rançongiciels. 870 (soit 36,5 %) émanaient d'organismes relevant d'un des 16 secteurs d'infrastructure critique, dont 210 du secteur de la santé, 157 de la fabrication de produits critiques, 115 d'instances gouvernementales, 107 des technologies de l'information, et 88 des services financiers.

+ 183 % d'escroqueries aux cryptoactifs

En tête du classement des pertes potentielles, les plaintes pour fraudes en matière d'investissement « sont passées de 1,45 milliard de dollars en 2021 à 3,31 milliards de dollars en 2022, soit + 127 % », pour 30 529 plaintes seulement.

L'IC3 souligne qu'elles sont en partie dues aux escroqueries relevant des cryptoactifs, qui sont en effet passées « de 907 millions de dollars en 2021 à 2,57 milliards de dollars en 2022, soit une augmentation de 183 % » : 

« De nombreuses victimes se sont endettées massivement pour couvrir les pertes liées à ces investissements frauduleux et le groupe d'âge le plus ciblé par ce type d'escroquerie est celui des victimes âgées de 30 à 49 ans. »

L'IC3 rapporte plusieurs grandes tendances constatées en 2022 : 

• les plateformes de « yield farming », ou « liquidity mining », incitent les spéculateurs à transférer leurs cryptoactifs chez elles afin de maximiser leurs profits. Ceux-ci intègrent en effet la valeur des jetons reçus en récompense... avant que les escrocs ne dérobent les portefeuilles ;
• le piratage de comptes sur les réseaux sociaux, afin de promouvoir des investissements frauduleux auprès des abonnés des comptes piratés ;
• l'usurpation d'identité de célébrités sur ces mêmes réseaux sociaux, afin de profiter de leur notoriété pour, soi-disant, « apprendre comment investir dans les crypto-monnaies » ;
• les fausses offres d'emploi dans de prétendues sociétés de conseils en matière d'investissement, ou fausses annonces immobilières, en vue d'escroquer les prétendants.

De l'importance de l'authentification à deux ou plusieurs facteurs

Les compromissions de messageries professionnelles (Business Email Compromise, BEC), seconde source de pertes les plus importantes (2,7 milliards de dollars, pour 21 832 plaintes seulement) sont, de leur côté, passées « du simple piratage ou de l'usurpation d'identité de comptes de courrier électronique professionnels et personnels à une demande d'envoi de virements électroniques vers des comptes bancaires frauduleux ».

« Dans le passé », explique l'IC3, les escrocs envoyaient des courriels de fournisseurs compromis, des demandes d'informations W-2 (le « relevé des salaires et impôts » utilisé par le fisc américain), ciblaient le secteur de l'immobilier ou spammaient des demandes frauduleuses de cartes-cadeaux :

« Plus récemment, les fraudeurs utilisent plus fréquemment des comptes de dépôt détenus par des institutions financières pour des échanges de crypto-monnaies, ou demandent aux victimes d'envoyer des fonds directement sur des plateformes de crypto-monnaies où les fonds sont rapidement dérobés. »

Une autre tactique « de plus en plus répandue » consiste à usurper des numéros de téléphone professionnels légitimes pour demander aux victimes de confirmer des transferts bancaires frauduleux : 

« Par exemple, les victimes déclarent avoir appelé une société de titres, un agent immobilier, etc., en utilisant un numéro de téléphone connu, et découvrent plus tard que le numéro de téléphone a été usurpé. Cette tactique accrue de numéros de téléphone "usurpés" souligne l'importance de l'authentification à deux ou plusieurs facteurs en tant que mesure de sécurité supplémentaire. »

Les banques rappellent à ce titre que leurs conseillers ne réclament jamais à leurs clients leurs identifiants ou mots de passe par téléphone ou courriels, et leur conseillent, s'ils sont contactés sans l'avoir sollicité, de ne pas répondre aux impétrants, et de contacter leurs établissements pour s'assurer qu'il ne s'agit pas d'une usurpation d'identité.

Les plus de 60 ans particulièrement ciblés par les faux call centers

L'IC3 n'a recensé l'an passé que 11 554 victimes de centres d'appels illégaux se faisant passer pour des entités gouvernementales, et 32 538 victimes de faux supports techniques, mais en hausses respectives de 68 et 132 %, totalisant plus 1 milliard de dollars de pertes.

Ils cibleraient majoritairement les personnes âgées, « ce qui a des effets dévastateurs » : près de la moitié des victimes déclarent avoir plus de 60 ans (46 %), mais ils subissent 69 % des pertes (plus de 724 millions de dollars). 

Ces escroqueries émaneraient principalement de centres d'appels situés en Asie du Sud, « notamment en Inde ». L'IC3 ne donne pas de chiffres, mais précise néanmoins qu'en 2022, les services de police indiens ont effectué, avec l'aide de leurs confrères américains, « de nombreuses descentes dans des centres d'appel, perturbé, saisi et arrêté des personnes soupçonnées d'être impliquées dans ces cybercrimes financiers et ces fraudes au télémarketing à l'échelle mondiale ».

Installez des adblockers pour vous prémunir du malvertising

L'IC3 renvoie également à 3 messages d'intérêt public (Public Service Announcements, PSA) publiés en 2022 à ce sujet.

Le premier, consacré à l'usurpation d'identité des forces de l'ordre et des représentants du gouvernement, revient sur les modus operandi de ces escroqueries exigeant généralement le paiement d'amendes, frais ou taxes divers et variés « sous diverses formes, les plus répandues étant les cartes prépayées, les virements électroniques et les espèces, envoyés par la poste ou insérés dans des guichets automatiques de crypto-monnaies » :  

« Les escrocs utilisent un ton urgent et agressif, refusent de parler ou de laisser un message à toute autre personne que la victime ciblée, et exhortent les victimes à ne parler de ce qui se passe à personne d'autre, y compris à leur famille, à leurs amis ou à leurs institutions financières. »

Le second revient sur les fraudes au support technique prétendant apporter une assistance censée « résoudre des problèmes tels qu'un e-mail ou un compte bancaire compromis, un virus sur un ordinateur ou un renouvellement de licence logicielle ».

En matière d'assistance bancaire ou de co-voiturage notamment, les victimes sont « généralement contactées par téléphone ou par SMS pour leur signaler un problème sur leur compte », les escrocs tentant de les persuader d'autoriser l'accès à leur ordinateur et à leur compte bancaire pour, soi-disant, « corriger le problème ».

En tout état de cause, l'IC3 conseille d'installer « un logiciel de blocage des publicités pour réduire le nombre de pop-ups et de malvertising (publicité en ligne visant à propager des logiciels malveillants) », et bien évidemment de veiller à ce que toutes les protections antivirus, de sécurité et contre les logiciels malveillants soient à jour.

• Le FBI recommande l'installation d'ad-blockers
• L'administration américaine pourrait généraliser les bloqueurs de publicité

L'IC3 appelle également à se méfier des sites web et numéro de téléphone figurant dans les résultats « sponsorisés » des moteurs de recherche, de plus en plus utilisés pour diffuser du « malvertising ».

Résistez à la pression qui vous pousse à agir rapidement

La troisième alerte revient plus en détail sur les escroqueries au sujet de soi-disant renouvellements imminents d'abonnements, « généralement dans les prochaines 24 heures, pour un service tel qu'un plan de protection de l'ordinateur ou une garantie » proposée par une grande chaîne de magasins : 

« Les escrocs demandent aux victimes de les contacter à un numéro de téléphone ou à un courriel fourni pour annuler le renouvellement et recevoir un montant de remboursement variable. Une fois que les victimes ont contacté les escrocs, ceux-ci tentent d'obtenir des informations personnelles et bancaires qui sont ensuite utilisées pour effectuer des virements électroniques non autorisés de fonds détenus sur les comptes des victimes ciblées. Les victimes ciblées font généralement partie de la population âgée. »

Les escrocs peuvent également inciter les victimes à télécharger un logiciel de prise de contrôle à distance « afin de fournir une assistance technique efficace et d'entamer la procédure de remboursement », y compris en proposant un montant de remboursement plus élevé en vue de les persuader de leur permettre d'accéder à leurs ordinateurs.

En tout état de cause, l'IC3 prodigue un certain nombre de conseils (voir aussi les cybermenaces et bonnes pratiques de cybermalveillance.gouv.fr) : 

• « résistez à la pression qui vous pousse à agir rapidement. Les escrocs prospèrent en semant la panique chez leurs victimes ;
• n'effectuez PAS de virement bancaire, en particulier vers des banques étrangères, sur les instructions d'une personne à qui vous n'avez parlé qu'en ligne ou par téléphone ;
• ne répondez pas à des courriels inattendus concernant des services non sollicités ou des services que vous n'avez pas achetés ;
• ne téléchargez pas de logiciels que vous ne connaissez pas, ou à partir de sites web non officiels (et) n'accordez pas d'accès à distance à votre ordinateur à des personnes ou entités inconnues ;
• ne fournissez pas d'informations bancaires ou d'identification personnelle (date de naissance, numéro de sécurité sociale, adresse) par courrier électronique ou par téléphone ;
• surveillez les transactions de votre carte de crédit et de votre compte bancaire pour détecter toute activité non autorisée et contactez immédiatement votre institution financière si vous observez une activité irrégulière ou non autorisée. »

Les 30 - 49 ans comptent le plus grand nombre de victimes

Le journaliste spécialisé Catalin Cimpanu évoque dans sa newsletter Risky Biz News un autre type d'escroquerie, le « Pig Butchering » (dépeçage de cochons, en français), ou « Fraud factory », reposant pour certaines sur le travail forcé de réfugiés asiatiques ou africains esclavagisés, et consistant à approcher leurs victimes via des sites de rencontres, déplacer les conversations vers d'autres plateformes plus privées afin de leur proposer de participer à un soi-disant « investissement commun », ou d'acheter des crypto-monnaies. 

Mais ce qui étonne le plus Catalin Cimpanu est de découvrir que la tranche d'âge la plus visée par les escroqueries à l'investissement est celle des 30 - 49 ans, celle-là même qui a pourtant, a priori, le plus d'expérience sur Internet, « et qui a très probablement été témoin de nombreuses escroqueries à l'investissement similaires » : 

« La génération "Bonjour, je suis un prince nigérian et j'ai besoin d'aide pour revenir de l'orbite" semble avoir une amnésie collective en ce qui concerne les investissements cryptographiques et les réponses des médias sociaux - apparemment ! »

Si les 88 262 plaignants de plus 60 ans sont ceux qui ont enregistré les pertes les plus importantes (un peu plus de 3 milliards de dollars), l'IC3 dénombre en effet 94 506 plaignants de 30 à 39 ans et 87 256 de 40 à 49, totalisant respectivement 1,3 et 1,6 milliard de dollars de pertes.

À titre de comparaison, les 64 551 plaignants de 50 à 59 ans ont perdu 1,8 milliard, contre 383 millions seulement pour les 57 978 plaignants de 20 à 29 ans, certes moins dotés financièrement.

Plus de sept millions de plaintes depuis l'an 2000

L'IC3 explique que son équipe de récupération des actifs (Recovery Asset Team, RAT), créée en 2018 afin de faciliter le gel des fonds de sorte d'essayer de rembourser les victimes, a constaté une augmentation de « 64 % du nombre de plaintes pour escroquerie par rapport à 2021 » : 

« En 2022, le RAT a initié sa chaîne d'élimination des fraudes financières (Financial Fraud Kill Chain - FFKC) suite à 2 838 plaintes portant sur des attaques par compromission de messagerie professionnelle (BEC) totalisant des pertes potentielles de plus de 590 millions de dollars, et parvenant à en bloquer 433 millions, soit un taux de réussite de 73 % ».

L'IC3, créé en mai 2000 pour recevoir des plaintes couvrant l'ensemble des questions cybernétiques, explique en avoir reçu plus de sept millions depuis lors, et appelle les victimes à porter plainte, et signaler les escroqueries dont elles auraient été l'objet, « car ces informations précieuses aident à combler les lacunes qui sont cruciales pour faire avancer nos enquêtes » : 

« Les informations soumises à l'IC3 peuvent avoir un impact dans les plaintes individuelles, mais c'est dans l'ensemble qu'elles ont le plus d'impact. En effet, lorsque ces plaintes individuelles sont combinées à d'autres données, elles permettent au FBI de relier les plaintes, d'enquêter sur les délits signalés, de suivre les tendances et les menaces et, dans certains cas, de geler les fonds volés. »

Dans sa FAQ, l'IC3 précise qu'elle peut être saisie « si vous ou le sujet présumé du crime sur Internet se trouve aux États-Unis, quelle que soit votre nationalité ».