Que sont les "scama", ces kits "prêts à l'emploi" utilisés dans les arnaques par SMS?

On les appelle "script kiddies", littéralement "gamins à scripts". Ce terme n'est pas nouveau mais montre un phénomène en pleine croissance. Il s'agit de jeunes pirates, généralement peu formés mais capables de d'activer un "script", c'est-à-dire un programme illégal mais simple pour commettre des méfaits.

Les script kiddies sont presque aussi vieux qu'internet et se contentent de petits piratages allant du forçage de mots de passe simples à des attaques par déni de service de sites mal protégés. Généralement, ils parcourent des boucles Telegram où se vendent des outils "prêts à l'emploi", sans besoin de beaucoup de connaissances.

"Ce n'est pas bien compliqué"

La semaine dernière, deux adolescents de 15 et 17 ans ont été arrêtés pour des arnaques en ligne. Avec une simplicité déconcertante, ils inondaient des milliers de personnes de SMS se faisant passer pour un service de streaming ou une entreprise de livraison. Les victimes étaient alors redirigées vers des sites semblables aux vrais où ils laissent leurs coordonnées bancaires. Les deux ados ont collecté ainsi des milliers d'euros.

Pour cela, ils utilisaient des "scama", contraction de "scamming method" ("méthode d'arnaque" en français). "

"C'est un faux site" explique Centho, un chasseur d'arnaqueurs réputé. "Ce n'est pas bien compliqué, il suffit de le mettre en ligne".

Ces scama, on peut donc les acheter facilement en ligne ou parfois les obtenir gratuitement avec le risque pour l'acheteur d'être arnaqué à son tour.

Des milliers de SMS

Ces kits peuvent aussi rédiger les messages à envoyer aux victimes. Mieux, ils peuvent contenir tous les outils du parfait arnaqueur par SMS avec un logiciel pour envoyer des SMS par centaines ou par milliers, tout en vérifiant les numéros de téléphone visés.

Il suffit alors aux apprentis pirates d'obtenir une carte SIM pour envoyer des messages. "On peut envoyer jusqu'à 5000 SMS environ", poursuit Centho, "avant que l'opérateur ne s'en rende compte et bloque la carte."

Comme le souligne l'entreprise de sécurité en ligne Vade Secure, dans un article de blog sur le sujet, la plupart des scama en ligne sont déjà périmés et seules les bonnes boucles Telegram permettent de trouver des outils à jour. "Contre un prix modique, n’importe quel hacker peut se procurer un scama et déployer une attaque sophistiquée", expliquent ses auteurs qui observent d'ailleurs une hausse impressionnante des mails d'hameçonnage ces dernières années.

Reste que règles pour s'en protéger sont inchangées: se méfier des mails ou des SMS qui réclament vos coordonnées bancaires, toujours vérifier le numéro ou l'adresse de l'email et contacter directement l'entreprise qui vous sollicite pour vérifier leur démarche.