Even InfoSec pros run into telephone scam artists

Même les professionnels de la sécurité ne sont pas à l’abri des escrocs

J’étais un utilisateur très satisfait d’Unitymedia en Allemagne pendant près de 2 ans avec un pack qui comprenait l’Internet, la téléphonie et la télévision. Lorsque j’ai déménagé il y a quelques mois, j’ai voulu transférer ma connexion Internet également. Or, on m’a informé que pour le même prix mensuel, je pouvais conserver ma ligne Internet et de téléphone, mais que je devrais payer 20 euros supplémentaires par mois pour la télévision. Alors que Netflix et les services de streaming sont désormais omniprésents, qui a le temps de regarder sa bonne vieille télé ? Pour économiser 20 euros, j’ai décidé de résilier l’abonnement télévision et de conserver uniquement la ligne Internet et de téléphone. Tout fonctionnait parfaitement, et un beau jour…

Bonjour, j’ai une offre à vous proposer

J’ai reçu un appel d’une personne qui disait travailler pour Unitymedia. Mon allemand est encore un peu rouillé et pour être sûr de me faire bien comprendre, j’ai demandé de l’aide à une collègue allemande qui pouvait traduire pour moi (car la personne d’Unitymedia ne parlait que l’allemand). Le représentant m’a informé qu’Unitymedia avait décidé de m’offrir le service de télévision sans frais supplémentaires (il savait donc clairement à quel abonnement j’avais souscrit). Pour procéder à cette activation, il a confirmé avec moi certaines données personnelles, comme mon adresse de facturation, mon adresse e-mail, ma date de naissance et mon identifiant client chez Unitymedia. Comme tout client normal, j’étais très satisfait de ses réponses et de sa politesse. Il m’a ensuite indiqué que pour activer le service de télévision, je devais lui confirmer mon numéro IBAN, qui identifie mon compte bancaire. Il m’a dit qu’il l’avait déjà, mais qu’il ne pouvait pas l’énoncer au téléphone. Au lieu de cela, il voulait que je le donne pour qu’il puisse vérifier ses informations.

Des signaux d’alarme

C’est là où le premier signal d’alarme a commencé à retentir. Ma collègue et moi-même étant très soucieux de la sécurité, nous avons échangé un regard surpris, puis elle lui a demandé pourquoi il avait besoin d’un IBAN. Il a tenté de s’expliquer mais n’y est pas arrivé, avant de passer le téléphone à une autre personne de son bureau. Cette autre personne a commencé par nous dire que c’était pour des raisons juridiques qu’elle ne pouvait expliquer, mais qu’elle voulait tout de même que nous confirmions notre IBAN. Nous lui avons alors répondu que c’était hors de question. Nous lui avons dit que nous pensions qu’il travaillait réellement pour Unitymedia et nous lui avons demandé d’envoyer sa demande par e-mail, car je ne pouvais lui donner d’informations financières par téléphone.

Le ton monte

Il a commencé à s’impatienter un peu et nous a dit qu’il pouvait nous envoyer un e-mail, mais que celui-ci proviendrait de son adresse e-mail personnelle et non d’un e-mail d’Unitymedia. Ce fut pour nous le deuxième signal d’alarme. Tout cela avait l’air très louche. Il s’est alors énervé et criait presque dans le téléphone. Ne pas fournir l’IBAN était clairement une erreur de notre part (ce qui faisait partie des politiques de l’entreprise, il ne faisait que suivre la règle) et nous passions à côté d’un service de télévision gratuit (que l’entreprise lui avait demandé de me fournir gratuitement). Au final, nous avons raccroché et il ne nous a jamais rappelés.

Numéro inconnu

Immédiatement après l’appel, j’ai publié un message sur Twitter pour Unitymediahilfe avec le numéro de téléphone suspect. Le compte officiel d’Unitymedia a répondu qu’ils ne connaissaient pas ce numéro. Voici la discussion sur Twitter :

Nous avons failli tomber dans le piège

Au final, c’est en étant très prudent que j’ai évité des pertes financières, même si je ne sais pas exactement ce que l’on aurait pu faire avec mon IBAN. J’ai été choqué de voir tout ce que cette personne savait sur moi. Je ne reçois pas de factures par courrier d’Unitymedia, aussi est-il impossible que quelqu’un ait mis la main sur mon courrier. Il est clair que des informations ont été divulguées à un moment ou un autre, mais je ne sais pas d’où.

Les pros de la sécurité peuvent eux aussi se faire avoir

Je travaille pour une société de sécurité et je fais preuve de prudence, mais j’étais tout de même très impliqué dans ma conversation avec cet escroc. Je me demande ce qui pourrait arriver à d’autres personnes qui pensent (à tort) qu’elles ne sont pas des cibles intéressantes pour les escrocs et les hackeurs. La vérité, c’est que cela pourrait arriver à n’importe qui, n’importe où et n’importe quand. Il est essentiel de prendre des mesures préventives pour protéger nos appareils ainsi que notre vie privée. Le plus important est de savoir ce qui doit être partagé – et ce qui ne doit pas l’être.

Cet article est également disponible en: AnglaisAllemandItalien