Dans Messages, il est facile de se faire passer pour Apple : attention aux arnaques !

Félix Cattafesta |

Un lecteur nous a fait remonter une nouvelle arnaque assez sophistiquée qui pourrait piéger même les plus prudents d'entre nous. Celle-ci repose sur un message de phishing reçu après un vol de téléphone, une technique ancienne mais bien rodée. La nouveauté est que désormais, les messages arrivent directement sur le fil de discussion « officiel » d'Apple déjà présent sur Message.

Après s'être fait voler son iPhone sur Bruxelles, Benoit a rapidement activé le mode perdu afin d'être recontacté par une âme charitable. Sur l'écran d'alerte, il a indiqué le numéro de téléphone d'un ami. Après deux jours sans nouvelles, il décide alors d'effacer le contenu de l'iPhone à distance.

Le lendemain, l'ami ayant laissé son numéro reçoit un étrange SMS arrivant directement sur le même fil de discussion que les messages habituellement envoyés par Apple. Celui-ci explique que l'iPhone a été retrouvé et sera expédié à l'Apple Store le plus proche. Un lien invite l'utilisateur à obtenir des informations sur l'emplacement du téléphone volé.

Les faux messages supposément envoyés par Apple.

Ce lien est frauduleux, comme le nom de domaine qui n’appartient pas à Apple le suggère bien dans l’URL : ce n’est ni apple.com, ni icloud.com. Rien que cet indice devrait suffire à repérer l’arnaque, mais on ne fait pas toujours attention et Benoit a cliqué dessus. Il a alors vu une page web représentant l’écran verrouillé d’un iPhone, avec saisie d’un code comme celui demandé par iOS. Puis une fausse page de connexion iCloud est apparue, mais flairant l'arnaque, Benoit décide de ne pas aller plus loin. Depuis, le lien a été désactivé.

Cette arnaque est assez courante et de nombreux utilisateurs expliquent sur des forums et les réseaux sociaux avoir vécu des situations similaires. Les arnaqueurs envoient souvent plusieurs messages à la victime, quand ils ne l'appellent pas en se faisant passer pour Apple afin d'obtenir des coordonnées et codes de sécurité. C’est d’ailleurs probablement pour cette raison que Benoît a vu un faux écran d’accueil en cliquant sur le lien : l’objectif est de récupérer un code qui pourrait servir si l’iPhone n’a pas été effacé.

Pour se faire passer pour Apple dans l’app Messages, les malfaiteurs utilisent des sites d'envoi de SMS en ligne sur lesquels on peut personnaliser le nom de l'expéditeur. Si ce nom est identique à une conversation déjà présente, l'application de messagerie instantanée d’Apple va fusionner les deux conversations. Grâce à ce genre de sites, j'ai pu m’envoyer des messages de phishing qui se sont effectivement retrouvés dans les conversations officielles d’autres entreprises :

Le site que j'ai utilisé est à vocation professionnelle, et je n'ai pas réussi à m'envoyer de faux message en tant qu'Apple. Si ce site bloque les noms d'expéditeurs potentiellement frauduleux, nul doute que l'on peut trouver des concurrents nettement moins regardants. Cette « astuce » fonctionne aussi visiblement avec les appels téléphoniques.

Il semble étonnant que Cupertino laisse faire cela : on pourrait imaginer qu'un filtre intégré à l'application bloque directement les expéditeurs se faisant passer pour Apple. La morale, c’est qu’en cas de vol de votre iPhone, faites donc très attention aux messages que vous recevez. Et surtout, vérifiez bien les URL que vous recevez et évitez de cliquer directement. Dans le cas d’Apple, mieux vaut ouvrir le site officiel du constructeur sans passer par un message, vous serez sûr de tomber au bon endroit. Sur Android, Google travaille actuellement à un système vérifiant l'authenticité des SMS.

Est-ce que vous avez déjà reçu un faux SMS d’Apple dans l’app Messages suite à un vol ou une perte d’iPhone ? N’hésitez pas à témoigner dans les commentaires !


Source
Merci Benoit
avatar duke_fsc | 

La question que je me pose, c’est le téléphone à été volé mais comment le numéro de téléphone de son ami s’est-il retrouvé sur les bases de données de pirates exerçant ce genre de phishing ?

avatar Link1993 | 

@duke_fsc

Parce que la personne avait laissé le numéro de son ami plutôt que le sien sur le téléphone perdu.

Donc la personne a laissé un message sur le numéro de l'ami qui était affiché sur le téléphone pour être contacté.

avatar rolmeyer | 

Je suis étonné par la première image. Le code de validation de mon identifiant n’est JAMAIS envoyé par Messages. Jamais. J’ai une fenêtre proprio qui s’ouvre. Avec le lieu de la demande.
Idem pour le Store, ma batterie arrive demain, Apple par une notif, rien dans Messages.

avatar Dv@be | 

@rolmeyer

Je suppose que c’est actif si on n’a un seul appareil Apple

avatar David Finder | 

@Dv@be

Non, pas forcément. Je reçois aussi des messages avec code de validation de la part d’Apple sur mon iPhone, Mac et iPad (tous avec le même compte iCloud).
Apple utilise la même méthode en interne, si on veut se connecter sur les sites réservés aux employés (HRweb, MyPage, etc…).
L’avantage, c’est que la page web reconnaît le code venant de Messages, et le clavier propose de le rentrer en un tap.

Le code avec la carte et l’emplacement c’est, normalement, lors de la première connexion sur un nouvel appareil.

avatar rolmeyer | 

@David Finder

Moi j’ai le carte à chaque fois. Pas toujours fiable, je l’ai à chaque fois.

avatar David Finder | 

@rolmeyer

Ah c’est bizarre ça…

avatar turismo | 

@rolmeyer

De mémoire, ca fonctionne ainsi si tu active la double authentification sans appareil de confiance.

avatar David Finder | 

@turismo

C’est ça 😉

avatar rolmeyer | 

@turismo

Ah ok je ne savais pas qu’on pouvait avoir la TFA sans appareil de confiance.

avatar bbibas | 

@rolmeyer

Oui et il me semble par iMessage c’est uniquement les confirmations de commande via info@order.apple.com suivi d’un https

avatar Mageekmomo | 

@rolmeyer

Tu peux avoir plusieurs compte Apple (ex : un pour les achats et un pour iCloud), mais un seul peut être lié à ton device Apple.

avatar Lu Canneberges | 

@rolmeyer

Pareil, mais c’est peut-être ce qui arrive pour les gens qui n’ont qu’un seul appareil Apple ou ancien.

avatar SyMich | 

Il y a des années qu'on a fait remonter cette faille de iMessage à Apple. Ça n'a jamais été considéré comme suffisamment dangereux pour justifier la mise en place de mesures de protections.

avatar John McClane | 

@SyMich

Pourtant ils font un programme de Bounty Hunters sur les failles ! Ça devrait en faire partie il me semble.

avatar SyMich | 

La première fois où on a signalé ce problème de sécurité, le bug bounty d'Apple n'existait pas encore. Et de toutes façons, comme le problème est superbement ignoré par Apple depuis des années, aucune chance qu'ils rémunèrent qui que ce soit pour cette faille.

avatar John McClane | 

@SyMich

C’est dommage, ça mériterait d’être corrigé…

avatar brian02 | 

Ce n’est pas une faille de sécurité, c’est le fonctionnement du protocole SMS et c’est pareil pour les e-mails, on écrit ce qu’on veut dans le champ expéditeur.
Je ne dis pas que ce n’est pas un problème, cet exemple le prouve, mais c’est connu et il n’y a pas de façon simple d’empêcher des utilisations frauduleuses.

avatar beteldor | 

@brian02

Le problème c’est que sur iPhone il n’y a aucun moyen d’afficher ou différencier dans les conversation le numéro qui est derrière le sender id ni de connaître le centre SMS d’origine.

avatar Phiphi | 

Déjà c’est un nid à emmerdement cette fusion de numéros différents dans une seule conversation. Ça m’a obligé à avoir des fiches en double pour le même interlocuteur en donnant des prénoms bidons pour distinguer les conversations personnelles des conversations professionnelles.
Il fallait vraiment être très tordus pour inventer une fonctionnalité qui mets une pagaille pareille. Un numéro = un fil de discussion c’était tellement simple et logique.
Avec leur nouillerie on ne sait même plus vers quel numéro part un sms et avec un peu de malchance la lecture en sera retardée suffisamment pour planter un message un peu urgent.

avatar TrollMan06 | 

@Phiphi

+1000

avatar lion.mar | 

@Phiphi

On voit que tu n'as pas compris l'erreur ici. Mais ce n'est pas grave

avatar Phiphi | 

@lion.mar

Je ne sais pas de quelle erreur tu parles, mais en tout cas j’ai bien compris le problème : des messages qui proviennent de numéros différents se rangent dans la même conversation, parce qu’y sont associés le même nom d’émetteur. Ça ne devrait JAMAIS arriver. Et ca ne serait JAMAIS arrivé sans cette idée saugrenue de fusionner des messages d’un même interlocuteur ayant plusieurs téléphones.

avatar SyMich | 

C'est exactement ça.
Et le piège c'est que l'expéditeur peut se faire passer pour Apple (comme relaté dans l'article), mais il peut aussi se faire passer pour votre banque, ou pour n'importe quel service officiel qui utilise ces sms de validation, pour récupérer vos identifiants d'accès à ces services.

avatar xDave | 

Oui, ça sent la fausse bonne idée (et qui s'entête en plus).
On crée une solution à un problème qui n'en est pas un, ou on met le filtre au mauvais endroit.
On voit bien l'idée sous-jacente de simplifier l'usage mais ça se confronte aux cas particuliers -Tel Pro/Perso,
- iPad/FeaturePhone-Android (ma mère a un vieux tel pourri et un iPad, je ne sais jamais si elle reçoit au bon endroit/au bon moment).

Qui au final créé un trou de sécurité, et un troisième user case
- Les forbans vont pouvoir en profiter

ça devrait se gérer au niveau du carnet d'adresse/fiche contact ou via réglage individuel/fusionner ces conversations, mais non c'est géré en global et sans option dans les préférences

avatar lion.mar | 

En l'occurence les messages ne proviennent pas de "Numéro" comme tu le dis, c'est un peu plus complexe, mais je vais pas rentrer dans les détails,

Pour te donner un exemple, tu verra qu'il ne t'es pas possible de trouver le numéro d'apple, tout simplement car il n'y en as pas.

avatar mariol66 | 

J’ai lu un témoignage tout a fait similaire il y a quelques semaines, comme quoi il ne faut jamais baisser la garde. Effectivement ça serait bien qu’Apple réagisse vite à trouver une parade pour que Message différencie les messages officiels de ceux potentiellement frauduleux.

avatar rolmeyer | 

@mariol66

C’est pas nouveau en soit cette histoire, c’est arrivé à Gonzague Dambricourt, j’avais vu son fil twitter cet hiver il a été contacté via une fenêtre sur son ordi qui ressemble pile poil à celle d’Apple.(ce qui est nouveau c’est s’être inséré dans une conversation Apple)
Perso iPhone perdu c’est perdu on efface et bloque si on peut. Aucune chance que Apple me contacte.

Toutes les semaines, j’ai une réservation uber, un colis Amazon en attente, un colissimo à chercher, la dernière fois c’était un code de sécurité tik toc…que j’ai jamais installé…mouarf.
Le plus tordu, un (pseudo) message d’Orange/Sosh me disant que j’avais changé mon mot de passe du compte ….mais ouais.

avatar lion.mar | 

Il faut que tu fasse attention ou tu donnes ton numéro de téléphone, tu dois ne pas être très prudent, de mon côté je n'ai jamais rien reçu et aucune connaissance n'as reçu de tel message.

avatar r e m y | 

Pas besoin de laisser imprudemment traîner son numéro pour recevoir ce type de messages (spam ou phishing).
En France, par exemple, tous les numéros possibles en 06 sont attribués (d'où la nécessité de proposer aussi des numéros en 07). Donc les spammeurs ou phisheurs lancent leurs messages à tous les numéros possibles en étant sûr à près de 100% de tomber sur des numéros valides.

avatar rolmeyer | 

@r e m y

Non seulement ça mais en disant amazon orange free darty la redoute ou la poste tu es peu près sûr que la cible est au moins client d’un des groupes..

avatar rolmeyer | 

@lion.mar

Euh je suis prudent, mais j’ai des amis, hein…et de famille (avec des nieces tellement fainéantes qu’elles n’ont même pas de code sur leur smartphone pour te donner le niveau)
Quand aux amis certains des professionnels reconnus et top dans leur domaine mais pas geek pour un sous, alors quand ils pensent que filer leur agenda pro et tout leurs carnet de contacts à facebook est une bonne idée…
J’en ai eu un (ami) qui n’a pas trouvé mieux que de filer son smartphone à son gamin de 7 ans qui dans son jeu pour avoir des gemmes a laisser pomper le jeu dans les contacts, donc sms, mails, invite facebook et autres …ça a fusé 😂

Tu as beau faire gaffe, y a toujours un maillon faible qq part, sauf à pas filer ton numéro mais bon alors ça me sert à rien un numéro de téléphone…

Parlons des salauds officiels…
Les magasins qui prennent son 06 pour confirmer une commande et qui vendent ensuite tes datas ou te balancent leur promo de la semaine par sms…
Renault qui veux mon 06 pour les confirmations de RDV atelier et te dire que ta révision est finie ce qui semble honnête puis que harcèle de sms de pub minimum 1 par mois quand c’est pas un appel prospectif alors que j’ai plus de Renault depuis 2009…( on est en 2021..oui oui on va vous enlever du listing…j’attends toujours)
Allez balançons la MACIF mon assurance auto, je demande dans leurs bureaux une extension de garantie panne 0km et la salope derrière le bureau me fait signer un papier pour confirmer ma demande et le prix du truc, 4 pages A4 remplies. Je dis la salope car noyé dans les 4 pages de sabir juridique une ligne avec …une phrase hypocrite pour te dire qu’ils vont filer mes données à leurs partenaires… et bien sûr elle ne m’a pas prévenu…
Nan hein désolé quand je vais voir mon assurance auto pour un changement je ne lis pas les 4 pages,qu’elle me donne, EN DETAILS, y avait le prix en grand, c’était sensé n’être qu’un avenant…
Résultat 2 jours après une pluie de sms et mails de leurs partenaires…..Je sais que c’est eux, car leurs partenaires sont identifiés ils m’envoient du courrier régulièrement
Ah Renault offre un numéro surtaxé pour qu’ils arrêtent de te harceler 😂😉 c’est toi qui doit payer sans garantie de résultats soi dit en passant…

Mon fils à 10 ans a eu un dumpphone pour qu’il puisse appeler son grand père à l’hôpital ( disant de 200 km) en phase terminale, un abo free à 2 euros numéro attribué par Free, dès le deuxième jour des sms pour des promos de bas et soutif DIM, promos de lingerie diverses, et des entrées en boite de nuit, le Q ( ça ne s’invente pas 😅) gratuit…juste pour dire alors que personne n’avait encore son numéro.

avatar cricri13009 | 

@rolmeyer

Ça arrive souvent, c’est vrai, mais il y a aussi une autre explication. Les numéros en 06 sont utilisés plusieurs fois. J’ai ainsi reçu plusieurs coups de fil de sociétés en recouvrement dès le premier jour. Mon contact chez Orange a vu l’historique des contrats de ce numéro et j’étais loin d’être le premier !

avatar kantandane | 

Faudrait surtout que ces SMS avec un nom plutôt qu’un numéro ne soient plus possible, on ne peut pas les rendre indésirables nativement comme on le fait pour un numéro, c’est une plaie.

avatar rolmeyer | 

@kantandane

Oui 👍🏻 et si Apple pouvait se débarrasser des dernières Iveries en nous mettant l’URL COMPLÈTE dans la barre de Safari ….alors que c’est moyen si simple de voir si le site est légitime a priori..( oui ça se contourne aussi) ça permet déjà de faire un tri.

avatar jerant | 

Merci pour ces infos utiles
Perso je pense que je serai tombé dans le panneau ⚠️

avatar koko256 | 

"des sites d'envoi de SMS en ligne sur lesquels on peut personnaliser le nom de l'expéditeur"
En 2021, c'est toujours possible de faire cela, mais que ceux qui ont la main la dessus se pendent...

avatar koko256 | 

Idéalement il faudrait arrêter d'utiliser les sms et les lignes et tout basculer vers signal et autres. Mais sans 3G c'est difficile.

avatar Ichigo-Roku | 

Perso j'ai reçu plus de tentatives de phishings via Signal que via SMS...

avatar koko256 | 

@Ichigo-Roku

La différence avec les SMS est qu'il n'y a aucune différence entre le vrai et le faux. J'en ai usé une fois en envoyant un message :
"888" messagerie Orange : le 13/07/21 à 18h52 ce correspondant a appelé quarante fois sans laisser de message.
Impossible de faire la différence avec le message officiel d'orange.

avatar koko256 | 

Idéalement il faudrait arrêter d'utiliser les sms et les lignes et tout basculer vers signal et autres. Mais sans 3G c'est difficile.

avatar Artefact3000 | 

Pas de Apple, mais de plusieurs autres qui tentent de se faire passer pour une compagnie, par exemple UPS.

avatar Bigdidou | 

Oui, j’ai eu aussi et également après le vol;de mon iPhone.
Le côté fake m’a paru évident, surtout dans ce contexte de post vol, par contre le fait que le message soit envoyé apparemment d’Apple (donc sous des message vraiment d’Apple) m’a beaucoup déstabilisé.

J’ai changé tous les mots de passe et ai failli même changer de numéro (avant d’y renoncer devant l’ampleur de la tâche).

avatar Max1000du35 | 

Déjà : Apple Store le plus proche de votre région…
Déjà rien que ça !

avatar Max1000du35 | 

Avec iOS 15, iPadOS 15, on pourra plus facilement localiser les iMachins

avatar IRONMAN65 | 

Il faut bombarder de messages le compte Twitter de Tim Cook

avatar Warek_G | 

Apple a pourtant très souvent répété que jamais ils ne demanderont les codes de sécurité ou autre de la personne. Mais bon… il y’a toujours des gens pour se faire avoir et des c**s pour faire du phishing inutile et embêter les gens pour rester poli.

CONNEXION UTILISATEUR