Après les multiples arnaques liées à la période d’Halloween, rapidement suivies de tentatives ciblant le célèbre calendrier de l’Avent Sephora, les escrocs reviennent en force avec une nouvelle technique redoutable, menaçant cette fois de dérober les informations personnelles des comptes Apple. Une arnaque aussi dangereuse qu’astucieuse pouvant piéger tous les utilisateurs, même les plus vigilants…

Une tentative de phishing ''particulièrement sophistiquée'' visant les comptes Apple

Sur son blog Medium, un dénommé Eric Moret raconte une mésaventure qui a bien failli lui coûter son précieux compte Apple, avec toutes ses données personnelles, voire bancaires. Tout commence avec la réception d’un code de vérification Apple à deux facteurs (code F2A), envoyé par SMS. Ne nécessitant pas de code de vérification, Eric ignore le SMS. Une petite minute plus tard, le bloggeur reçoit un appel téléphonique pour le moins énigmatique, avec, à l’autre bout du fil, un message automatisé. Prétendant provenir d’Apple, la voix robotique lui dicte un autre code à deux facteurs. Pendant l’appel, Eric s’aperçoit que ses appareils (iPhone, Mac et iPad) reçoivent des notifications de connexions suspectes.

Quelques minutes plus tard, les cybercriminels réitèrent, avec cette fois un (faux) agent humain, se présentant comme un représentant de l’assistance Apple. Avec une voix calme et un discours bien rodé, l’escroc explique à Eric :

''Votre compte est attaqué. Nous ouvrons un ticket pour vous aider. Quelqu'un vous contactera sous peu.''

Vient ensuite le second appel, qui dure cette fois plus d’une vingtaine de minutes, toujours avec un faux agent manifestement très crédible. Ce dernier présente à Eric un ticket d’assistance officiel à son nom, avec un numéro de suivi vérifiable et un e-mail provenant réellement des serveurs Apple. Tout semble authentique, mais il s’agit d’une manipulation…

Le procédé repose en réalité sur une faille du système de support Apple : n’importe qui peut générer un ticket au nom d’un tiers, sans vérification requise. Utilisant cette faille, les pirates donnent ainsi l’impression que le compte de la victime est réellement compromis. Convaincu par la crédibilité de la procédure, Eric suit les instructions de l’escroc, qui ne demande jamais directement les codes, mais le guide pour effectuer lui-même certaines actions.

Par la suite, l’escroc explique à Eric qu’il va recevoir un SMS comportant un code afin de clôturer le dossier, tout en le redirigeant vers un site usurpant Apple. Bien qu’il soit factice, le site imite parfaitement l’interface d’Apple, avec un certificat HTTPS valide et même des étapes de sécurisation affichées.

Lorsqu’Eric saisit le code reçu par SMS, il transmet aux escrocs les informations permettant d’accéder à son compte. Quelques secondes plus tard, un e-mail lui signale qu’un appareil inconnu s’est connecté à son compte Apple/iCloud, révélant la tentative d’intrusion. Eric change immédiatement son mot de passe et échappe de justesse à un vol complet de ses données. Choqué par l’efficacité du piège, Eric résume sa mésaventure :

''Un simple SMS s’est transformé en l’attaque de phishing la plus sophistiquée que je n’ai jamais vue.''

Pour se protéger de ce type d’arnaque, il est vivement conseillé de ne jamais répondre aux appels non sollicités (même s’ils prétendent provenir d’Apple), et de contacter directement le support officiel si vous remarquez une activité ou des notifications suspectes.

Gardez également en tête qu’aucun agent de l’assistance Apple ne vous demandera vos précieux codes d’authentification. Au moindre doute, coupez court à la conversation, et pensez surtout à changer vos codes de toute urgence.

Sources : Medium, Clubic