Des SMS qui imitent le service de télépéage Ulys ciblent en ce moment les automobilistes français. Bitdefender Labs vient de révéler une vaste campagne mondiale de smishing qui touche jusqu'à douze pays depuis plusieurs mois.
On pourrait croire que 6,80 euros de péage impayé auprès d'Ulys ne méritent pas qu'on s'y attarde. C'est pourtant sur ce genre de ressort que les cybercriminels s'appuient pour diffuser leur « Operation Road Trap », une campagne de smishing (donc de phishing par SMS) planétaire révélée cette semaine par Bitdefender Labs. En France, plus de 400 liens malveillants imitant Ulys ont déjà été détectés par l'entreprise de cybersécurité, qui s'étonne du perfectionnement des méthodes employées par les hackers.
79 000 SMS et 12 pays visés, l'arnaque au péage devient presque industrielle
Depuis le mois de décembre, les chercheurs de Bitdefender Labs ont passé au crible des dizaines de milliers de SMS suspects et identifié pas moins de 79 000 messages frauduleux, regroupés en 40 vagues d'attaques distinctes. Derrière chacune, on retrouve une même cible, les automobilistes, d'ailleurs répartis sur quatre continents et 12 pays, avec la France, mais aussi l'Espagne, les États-Unis, le Canada, le Royaume-Uni, l'Australie, la Nouvelle-Zélande, l'Irlande, le Luxembourg, le Brésil, la Colombie et l'Inde. Plus de 31 900 URL malveillantes différentes ont été identifiées
Alors comment fonctionne l'arnaque ? C'est simple, un SMS vous informe d'un péage ou d'une amende impayée et vous donne entre 24 et 72 heures pour régler la situation. Pour s'assurer que vous ne prenez pas le temps de douter, le message agite aussitôt des menaces bien précises, avec une pénalité de 35 % sur le montant dû, une suspension de permis, voire carrément des poursuites judiciaires. Chaque mot est choisi pour déclencher ce fameux réflexe de peur, qui incite à agir, dans le bon ou… en l'occurrence dans le mauvais sens.
La France n'est pas la seule concernée. En Australie, les escrocs se font passer pour Linkt, un opérateur de péage local, avec des messages qui peuvent apparaître directement dans le fil de conversation que la victime a déjà avec la vraie marque sur son téléphone. En Inde, l'arnaque va encore plus loin, puisqu'au lieu d'un faux site de paiement, les victimes sont poussées à installer une application malveillante, présentée comme un outil officiel de consultation des infractions routières, mais qui est en fait conçue pour espionner leur téléphone.
Ulys largement ciblé en France, ses clients avec
En France, les arnaqueurs ont choisi de se faire passer pour Ulys, le service de télépéage utilisé sur les autoroutes françaises, qui alerte aussi ses clients sur son propre site, au sujet du risque d'escroquerie. Les SMS sont rédigés dans un français impeccable et réclament le règlement d'un solde impayé, souvent une somme volontairement dérisoire, comme 6,80 euros, pour ne pas éveiller les soupçons. Bitdefender Labs a recensé plus de 400 liens malveillants liés à cette campagne, avec une concentration particulièrement forte en Île-de-France, en Rhône-Alpes et en Provence-Alpes-Côte d'Azur, où l'opérateur est très présent, avec les autoroutes A6 et A7, entre autres.
Ces SMS sont difficiles à détecter, puisque les pirates utilisent des techniques pour tromper à la fois les filtres anti-spam et les victimes elles-mêmes. Ils remplacent certaines lettres par des caractères cyrilliques qui leur ressemblent à s'y méprendre (un « e » ou un « a » d'apparence identique, mais techniquement différent), ce qui suffit à déjouer les algorithmes de détection automatique. Ils falsifient également le nom de l'expéditeur pour que le SMS semble provenir d'Ulys, et masquent leurs liens piégés derrière des raccourcisseurs d'URL, ces services qui transforment une adresse web en une courte suite de caractères illisible.
Certains messages ajoutent un peu plus de ruse à la ruse lorsqu'ils demandent à l'utilisateur de répondre « Y » avant d'accéder au lien. Sur iPhone, cette réponse préalable a pour conséquence de contourner une protection d'iOS qui aurait normalement bloqué le lien automatiquement. Quant aux faux sites vers lesquels pointent ces messages, ils sont régulièrement remplacés par de nouvelles adresses dès qu'ils sont signalés, ce qui leur permet de rester actifs malgré les tentatives de blocage.
Les signaux d'alerte et bons réflexes pour ne pas tomber dans le piège des faux SMS de péage
Quelques détails permettent heureusement de démasquer ces SMS avant de tomber dans le piège. Le plus révélateur, selon Bitdefender, reste la mention dont nous parlions d'une pénalité de 35 % sur le montant réclamé, retrouvée dans quasiment toutes les campagnes identifiées. Méfiance aussi si le lien semble étrange ou tronqué, ou si l'expéditeur affiche un nom officiel comme « Ulys » mais que l'adresse qui se cache derrière ne correspond à aucun site gouvernemental ou institutionnel reconnu.
Si vous recevez un SMS de ce type, n'y répondez pas et ne cliquez surtout pas sur le lien, même pour vérifier. Si vous avez un doute légitime sur un péage impayé, tapez directement l'adresse du site officiel d'Ulys dans votre navigateur. C'est le seul moyen d'être certain de ne pas atterrir sur une copie frauduleuse. Quant au message suspect, vous pouvez le transférer à votre opérateur téléphonique, qui se chargera de le signaler.
Les arnaques par SMS existent depuis longtemps, mais elles n'ont jamais atteint une telle échelle. Avec celles au faux colis, particulièrement répandues et toujours plus personnalisés, les escroqueries au télépéage font partie des plus sollicitées aujourd'hui par les pirates. La méfiance vaut aussi bien pour nous que pour nos proches, alors n'hésitez pas à les sensibiliser.
