Comment j’ai failli me faire p0wn par un scam imbécile

Il faut tout d’abord que je fasse une confession : je suis sur Facebook, et j’y suis même relativement accro. Mais ce soir, il m’est arrivé une mésaventure pas agréable, qui heureusement s’est bien terminée (oui, je suis pas très douée en suspense, je spoile à mort, bref. Bon, le titre du billet est un peu un give-away aussi, je suis nulle en titres.)

Une copine m’attrape sur Facebook ce soir (le tout en anglais, bref) : « Salut, ça va ?
— Voui et toi ?
— Ben moi pas trop.
— Ah ? T’es malade ?
— Nan. Par contre je sais pas si tu as entendu, mais je suis bloquée à Londres.
— Ah non je savais pas. Problème d’avion ?
— Non, en fait on s’est fait voler nos trucs à l’hôtel.
— Oh merde.
— Et le pire c’est qu’on s’est fait menacer avec un flingue.
— !!! je suis super désolée, ça a dû être affreux »

(À ce stade, la Balise ne se doute de rien.)

« Heureusement, on a encore nos passeports. »

J’avoue avoir réfléchi, et m’être dit que oui, elle avait besoin d’une pièce d’identité pour rentrer, puisqu’il fallait qu’elle rentre dans la zone Schenghen dont le Royaume-Uni ne fait pas partie. Et puis pour prendre l’avion, tout ça. J’avais même pensé à ça avant, quand « elle » m’avait dit qu’elle était bloquée pour cause de braquage : « ouais, plus de papiers d’identité pour rentrer, ça va être la lutte » (la copine en question est de nationalité états-unienne, ce qui aide pas nécessairement, du moins dans mon imagination).

La discussion continue :

« Ah ben c’est toujours ça (de toujours avoir son passeport).
— Oui, par contre j’ai besoin de ton aide pour rentrer. J’ai besoin de cash pour rentrer à la maison, je promets de te le rendre dès que je reviens. »

Là, la Balise se dit quand même que ya un truc qui pue.

« Heu, j’ai rien contre dans le principe, mais j’aimerais quand même bien que tu me prouves de manière au moins minimale que c’est bien toi et pas quelqu’un d’autre qui aurait piqué tes identifiants Facebook.
— Non mais si tu m’envoies des sous ça sera à mon nom et à mon adresse à Londres ! »

Là, la Balise se souvient avoir lu des trucs à propos de Western Union et du fait que t’as intérêt à être très, très sûr de ton coup avant d’envoyer du pognon par ce biais là. La Balise demande à son mari « dis voir, chuis embêtée, ya soi-disant ma copine qu’est à Londres qui me réclame du cash sur Facebook. ». Le mari qui ne connaît pas la copine et qui n’a pas le prétexte émotif de se dire « oui mais mais mais si c’était vrai ?? » confirme que c’est très, très, très probablement un scam. D’autant plus que la personne en face ne répond pas à ma demande d’identification. À peu près n’importe quoi aurait pu faire l’affaire, on s’était vues avec la copine en question la semaine d’avant ou il y a quinze jours, c’était… pas très compliqué, je pense. Mais je me disais quand même dans un coin de ma tête que je sais pas à quel point j’aurais été traumatisée dans la situation décrite ! Je me suis même excusée vis-à-vis de la personne en face de ma paranoïa et de mes soupçons…

Envoi d’un mail à la copine (et à son époux, au cas où le mail aurait été compromis aussi) – réponse rapide, tout va bien, c’était effectivement un scam, et elle s’était fait hijacker son Facebook.

Bref, j’ai la très désagréable impression que j’aurais pu me faire avoir. Et j’ose me targuer d’avoir une certaine compétence sur ce genre de conneries. Je suis pas vraiment fière de moi. Surtout qu’à la réflexion, c’était parfaitement illogique de s’adresser à moi : on se connaît pas plus que ça finalement, et je sais qu’elle a de la famille qui pourrait l’aider dans ce genre de situation. Bref… quelques fois, je me dis que je devrais être plus paranoïaque que je ne le suis (et je suis tout de même contente de l’avoir été suffisamment cette fois). C’est un conseil valable pour tout le monde je crois… sur Internet, personne ne sait que tu es un chien.

Et j’ai une envie soudaine de changer tous mes mots de passe.

10 commentaires sur « Comment j’ai failli me faire p0wn par un scam imbécile »

  1. Oh bah merde alors ! Punaise ! (j’adore ton texte, même si c’est pas drôle, ta façon de raconter, écrire comme si tu parlais, c’est juste super) Tu as eu une bonne réaction c’est vrai, car de l’argent, c’est pas rien, donc bon, faut pas pousser hein ! Balise, t’assure !

  2. Mais au fait, la « chose » qui t’a prise au piège, elle avait l’air de réussir le test de Turing… C’était un humain tu penses ? Ensuite, ce qu’il serait intéressant de savoir, c’est comment le compte Facebook de ta copine a été compromis…

  3. Je pense que tu as eu l’attitude à avoir, et c’est super de ta part de faire partager cette expérience… merci de prévenir ^^
    (après si t’es coincée à Londres et que tu as besoin de sous, évite de me contacter par facebook…)

  4. @jadawin et je m’en félicite. Mais j’ai quand même la sale impression que c’est pas passé loin.
    @VGP merci 😉
    @ChrisJ je pense que c’était un humain, mais je pense pas qu’une conversation d’une dizaine de phrases suffise sur le Turing 😉 Quant à la compromission, bah je suppose qu’on ne le saura jamais, mais les méthodes ne manquent pas… j’en discuterai probablement avec elle dans les prochaines semaines 😛

  5. Il est probable que si j’étais coincée à Londres et que j’aie besoin de sous, je contacte plutôt au choix mon époux, mes parents ou mes sœurs… il est peu probable qu’on soit TOUS à Londres et qu’on se soit TOUS fait braquer nos sacs 😛

  6. @ChrisJ: c’était un humain clairement. Pour ce genre de tentative (over chat), il n’y a pas vraiment encore de truc automatisés à ma connaissance. Pour ce qui est d’obtenir le mot de passe, c’est probablement un des classiques:
    – Un keylogger sur une des machines utilisées par la dite personne (cyber café, virus, faille de navigateur/flash, etc.))
    – Un phishing réussi (aka, la personne a suivi un mail qui a mené sur un faux site facebook et elle a donné ses identifiants)
    – Mot de passe identique utilisé sur un autre site, autre site qui aurait été piraté. Les 3 sont extremement courant et expliquent l’immense majorité des hijackings qu’on voit passer. Le dernier (meme mot de passe sur un autre site compromis) est moins mentionné mais en nette recrudescence récemment il semblerait.

  7. Et t’as fait quoi quand t’as été certaine que tu te faisais avoir ? Juste interrompu ? J’aurais continué longtemps en causant de gens totalement inventés, et dit que j’envoyais l’argent à une adresse totalement paumée qui n’existe même pas… ou des flics, tiens, même si ça sert sans doute à rien.
    Si on faisait tous semblant de mordre à l’hameçon des escroqueries, y aurait déni de service – ou bien les automates de conversation genre Alice se généraliseraient chez les escrocs… mouais, pas une bonne idée.

  8. @ChrisJ oui, on m’a fait passer ça dans la journée aussi 😛
    @Krysztof visiblement la personne en face a pigé que ça marcherait pas et s’est déconnectée avant que je sois complètement certaine (aka que j’aie eu la confirmation de la personne usurpée qu’il y avait bien un problème).

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s