Scam nation : pourquoi vivre avec des escrocs est notre nouvelle normalité
Le nombre de SMS frauduleux explose cette année. Le pire, c’est que les escrocs sont de plus en plus intelligents pour provoquer des réponses.
Les SMS douteux de numéros inconnus se multipliaient sous mes yeux. Plus inquiétant, ils commençaient à évoluer.
Je ne parle pas des stratégies de phishing classiques (l’IRS essaie de vous joindre ; vous devez vérifier votre compte bancaire ; vous venez de gagner un concours) ; c’était facile même pour la version la plus distraite et à faible QI de mon cerveau reperer. Il était trop facile de rejeter un message provenant d’un expéditeur inconnu proposant une URL. Au bout d’un moment, les expéditeurs inconnus semblaient le savoir.
Mon premier salut, qui est-ce ? le texte sans lien m’a un peu ralenti – il est au moins plausible qu’une vieille connaissance ait perdu tous ses contacts numériques et ait trouvé mon numéro écrit quelque part. Mais ne se présenteraient-ils pas aussi ? Je les ai également supprimés à plusieurs reprises sur tous les appareils Apple, car iMessage n’est pas encore assez sophistiqué pour nous permettre de nous débarrasser des SMS frauduleux sur iPhone, iPad et Mac en un seul clic.
Puis j’ai reçu un texto d’un numéro de New York avec une seule phrase alarmante : Qu’est-ce qui ne va pas avec toi ? Probablement une arnaque, ai-je raisonné, mais les poils se sont quand même dressés sur la nuque. Qu’ai-je fait ?, dit une petite voix dans le centre de la peur de mon cerveau, dont le reste fournissait tellement de réponses possibles que la voix de la peur continuait : Comment ont-ils su ?
La partie la plus calme et la plus amusée de mon cerveau voulait presque féliciter l’escroc. Nous sommes des créatures sociales, et la science nous dit que nous sommes câblés pour nous inquiéter du rejet et de la désapprobation. Alors j’ai fait quelque chose que je n’avais jamais fait auparavant, la seule chose que nous ne devrions jamais faire : j’ai répondu.
OK, je vais mordre, j’ai envoyé un texto. Qui est-ce?
Qu’est-ce qui ne va pas chez nous
Comparé à tout ce qui ne va pas avec le monde moderne – les démocraties en danger, une pandémie qui ne s’arrêtera pas, les inondations, les incendies et la famine provoqués par le changement climatique – les escrocs qui se lancent dans nos affaires technologiques peuvent sembler un problème trivial. Mais ils ne le sont pas. Un montant impressionnant de 137 millions de dollars aurait été perdu aux États-Unis en 2021 des fraudes qui ont commencé avec des textes frauduleux, selon la FTC. La perte médiane : 1 000 $ par personne.
Il y a tout lieu de croire que le nombre de 2022 dépassera largement ce chiffre. Selon les experts et les services qui surveillent ce genre de choses, les appels automatisés frauduleux sont en baisse – pas disparus, mais considérablement en baisse, car qui de moins de 50 ans répond plus à son téléphone ?
Pendant ce temps, les robotex sont en place. En haut. En 2020, selon un rapport de Robokiller, une application qui vise à bloquer les spams, les résidents américains ont reçu un record de 4,5 milliards de spams par mois. En juillet 2022, ce nombre avait grimpé à 12 milliards. (Il a légèrement baissé en août, à 10,8 milliards ; peut-être même les escrocs ont-ils besoin de vacances.)
Creusez dans les détails et une tendance troublante émerge. Les espèces d’arnaques commencent à s’adapter à des niches saisonnières. Les SMS basés sur les voyages augmentent en été, souvent liés à de faux sites de réservation et à de faux numéros de service client. Nous sommes prêts à nous attendre à des annulations de vols, qui sont plus fréquentes maintenant qu’auparavant – et avec le temps qui devient de plus en plus bizarre, ça ne fera qu’empirer.
Pendant la période des fêtes, lorsque nous attendons tous des colis, les escrocs passent à leur catégorie la plus populaire dans l’ensemble : les escroqueries à la livraison. « Votre colis Fedex attend que vous définissiez vos préférences de livraison », dit un texte courant, jouant sur nos craintes d’être tellement distraits que nous avons oublié de cocher une case ou une autre sur la page de commande. De plus en plus, les escrocs connaissent le nom associé à un numéro de téléphone donné, ils l’ajouteront donc pour une touche personnelle.
Robokiller estime que nous terminerons l’année avec 13 milliards de messages frauduleux de livraison rien qu’aux États-Unis, soit plus du double du total de 2021.
Où est la FCC, l’agence qui dit nous protéger de toutes ces bêtises ? C’est du rattrapage, mais à la vitesse de la bureaucratie. Juste cette semaine, après un an de retard, les commissaires de la FCC ont voté 4-0 sur une proposition qui … sollicite les commentaires des fournisseurs de téléphonie mobile sur la question de savoir s’ils devraient être tenus de bloquer les SMS provenant de numéros frauduleux connus.
En d’autres termes, le cheval s’est envolé et le gouvernement demande aux fabricants d’écuries ce qu’ils pensent de la fabrication de portes qui pourraient se fermer.
Le nom est probable. Arnaque probable.
Ce n’est pas que nos dirigeants ne peuvent rien faire. Un Congrès américain au point mort a en fait réussi à adopter une législation bipartite sur les appels automatisés, la loi TRACEDen 2019. Un cadre de technologie de communication appelé STIR/SHAKEN a été introduit en 2021, obligeant les opérateurs à nous alerter des appels provenant de numéros usurpés. (Vous voulez vraiment savoir ce que cela signifie ? D’accord, voici : Identité téléphonique sécurisée revisitée et traitement basé sur la signature des informations affirmées à l’aide de jetons. Content que vous ayez demandé ?)
C’est pourquoi les utilisateurs d’AT&T ont commencé à voir Spam Risk sur certains appels (mais pas toutes les escroqueries, bien sûr.) Si vous êtes sur T-Mobile ou Sprint, c’est pourquoi vous recevez des appels de quelqu’un qui ressemble à un personnage dans un roman de Dickens : Spam Likely.
Malgré son acronyme assoiffé de James Bond, STIR/SHAKEN a à peine effleuré la surface du problème des appels automatisés. Robokiller dit que nous sommes toujours sur la bonne voie pour 86 milliards d’appels de spam aux États-Unis en 2022, car il y a beaucoup de gens qui décrochent encore leur téléphone – et beaucoup d’entre eux peuvent être assez facilement cajolés ou effrayés.
Pour avoir un aperçu de la facilité avec laquelle nous pouvons être dupés par un vaste réseau criminel de blanchiment d’argent prétendant être la sécurité intérieure ou l’IRS, consultez « Scam Likely » – également le nom de la saison quatre du populaire podcast Chameleon.
Les arnaqueurs comme amis, les amis comme arnaqueurs
Même les parents les plus férus de technologie peuvent voir la vie sociale en ligne d’une manière différente, à l’ancienne et plus sincère que leurs enfants cyniques. Ma mère britannique avait un compte Instagram modérément populaire composé uniquement de fleurs, et a toujours ressenti le besoin de répondre avec une note de remerciement polie à chaque commentaire et DM.
C’est ainsi qu’elle a été victime d’un hacker russe qui lui a fait remettre le mot de passe de son compte contre la promesse d’un chèque bleu en début d’année – puis l’a rançonné pour une modique somme qu’elle a refusé de payer, par principe. Maman n’avait pas configuré l’authentification à deux facteurs (en tant que technicien informatique à distance, je m’en veux). Mais le pirate informatique a configuré deux facteurs à l’aide de son téléphone, de sorte que le système automatisé d’Instagram n’a pas pu l’aider. Elle a été mise en lock-out pour de bon.
Dieu merci, elle vient de créer un autre compte rempli de photos de fleurs ; celui qui a maintenant presque autant d’adeptes que l’ancien. Mais elle en a payé le prix dans la fureur, la frustration et le stress.
Souvent, le résultat est pire. Je connais une poignée d’autres personnes – et j’en ai vu des dizaines d’autres sur Reddit – qui ont perdu l’accès à leur compte Instagram grâce à une arnaque rusée que l’on pourrait appeler la chaîne d’amis.
Voici comment cela fonctionne. Un ami vous envoie un DM : il a perdu votre numéro de téléphone. En fait, c’est un faux compte avec un nom légèrement différent prétendant être votre ami, mais puisque le compte utilise la photo de profil de l’ami, vous ne le savez pas. L’ami dit qu’il n’a plus accès à son compte Instagram, pouvez-vous lui envoyer une capture d’écran du lien qui vient de vous être envoyé ?
Bien sûr, peu importe. Tu es occupé. C’est un ami. Vos défenses sont baissées. Et avant que vous ne vous en rendiez compte, le faux ami vous a exclu de votre Insta. Maintenant, le processus peut recommencer avec vos contacts – seulement ils n’ont pas besoin d’usurper votre compte cette fois. Ils ont la vraie chose, parfait pour tromper vos amis. Et vous ne récupérez pas votre compte tant que vous n’avez pas payé.
Le Better Business Bureau a essayé de nous faire prendre conscience de cette arnaque Insta, mais combien voient leurs alertes ? Meta le sait clairement, mais ce blaireau en particulier ne s’en est jamais soucié. La guerre est effectivement abandonnée. On s’attend juste à ce qu’on vive avec ce genre d’escroquerie, comme le rayonnement de fond : vous savez qu’il est là, vous espérez juste que vous ne vous en approchez pas trop, et que vos amis ne se transforment pas en mutants copies d’eux-mêmes.
Si vous voulez une image de l’avenir en ligne où nous nous sommes pratiquement rendus aux escrocs, regardez les e-mails. Le spam est un vieux problème permanent que nous traitons comme un bruit de fond. Les filtres anti-spam de Gmail, qui réclament souvent de manière agaçante un e-mail d’un partenaire commercial ou d’un ami, semblent en laisser passer plus sur le net chaque jour.
Personnellement, je passe au moins 20 minutes par jour à essayer d’entraîner mon Gmail personnel à reconnaître le spam, qui submerge continuellement les messages légitimes réels dans ma boîte de réception. (Certes, cela peut avoir quelque chose à voir avec mon problème d’identité erronée en cours, mais la tendance ne va que dans la mauvaise direction.)
Les escrocs se déplacent beaucoup plus rapidement que les tentatives pour les attraper. Dès que nous sommes habitués aux attaques sur une plate-forme, elles se glissent dans nos DM sur une autre. Peut-être que ce n’est qu’un domaine de plus où nous devrons simplement entraîner notre cerveau à faire correspondre plus de modèles et à devenir plus cyniques chaque fois que nous déverrouillerons nos téléphones, quels que soient les autres facteurs de réduction de l’attention qui remplissent nos vies.
Bonne chance avec ça, tout le monde.
Texte de l’étape de sortie à gauche
Alors qu’est-il arrivé à mon correspondant texto avec le message « Qu’est-ce qui ne va pas avec toi » ? Lorsqu’ils ont été interpellés, ils ont affirmé avoir essayé de me joindre sur WhatsApp, mais n’ont reçu aucune réponse. Ils ont dit qu’ils essayaient de joindre un associé nommé « Denver ». Leur assistant a foiré les chiffres, ont-ils dit.
Vous parlez à tous vos associés d’affaires comme ça ?, ai-je demandé.
« Je l’ai envoyé à mes subordonnés, n’est-ce pas ? vint la réponse linguistiquement contestée.
D’autres questions sur l’efficacité de « Qu’est-ce qui ne va pas chez vous » par rapport à un simple « Bonjour » sont restées sans réponse.
Mettre sur écoute les escrocs et les spammeurs autant qu’ils nous embêtent était un trope utilisé par certains comédiens dans les années 2010, à la limite de la cruauté (beaucoup de gens comme l’ami de Denver ne sont que des fantassins de bas niveau dans un grand empire de l’escroquerie).
De plus, les fantassins semblent également s’adapter à la tactique de perte de temps. C’est un processus beaucoup plus efficace de se retirer lorsqu’ils sont contestés, ce qui leur donne plus de temps pour se concentrer sur les marques crédules. Tant que nous sommes suffisamment nombreux à leur fournir un salaire, l’incitation demeure et les escrocs continueront à faire évoluer leurs tactiques.
La vie, en bref, trouve un chemin – en particulier les lowlives dans les coins ombragés de notre monde toujours actif.