coordonnees bancaires
Produits et Services PRODUITS & SERVICES

Des scammeurs sur Google Maps dérobent les coordonnées bancaires d’internautes

Google Maps permet aux utilisateurs de modifier et de mettre à jour ses listings. Malheureusement, des scammeurs, utilisant les mécanismes permettant d’apporter des modifications, ont modifié Google Maps pour inciter des internautes à fournir leurs coordonnées bancaires.

Google Maps permet aux utilisateurs de modifier et de mettre à jour ses listings. Un crowdsourcing qui a permis à Google de renseigner les détails de ses cartes, tels que l’ajout de nouvelles routes ou de nouveaux parcs : une fonctionnalité utile, en particulier dans les zones où les gouvernements limitent la diffusion de telles données ou bien dans des régions moins développées.

Certains résultats ont été à la hauteur des attentes, bien qu’ils impliquent des pratiques trompeuses que nous n’approuvons pas, telles que l’utilisation de fausses identités permettant aux individus en question de créer de faux comptes qu’ils utilisent ensuite pour appuyer leurs propres arnaques en ligne.

Par exemple, nous avons vu Google Maps afficher le robot mascotte d’Android en train d’uriner sur le logo d’Apple, ou encore un chat géant qui s’étalait de tout son long sur Hobson Bay Walkway à Auckland.

Outre les frasques graphiques, nous avons également constaté que le contenu généré par l’utilisateur impliquait la modification d’adresses : par exemple, Google Maps a été amené à afficher un magasin de snowboard appelé Edwards Snow Den, situé au 1600 Pennsylvania Avenue : une adresse autrement connu comme étant celle de la Maison Blanche !

Malheureusement, les escrocs en tout genre utilisent désormais les mêmes mécanismes par lesquels Google permet aux utilisateurs d’apporter des modifications utiles ou amusantes dans Google Maps. Dimanche, Business Insider a annoncé que des scammeurs avaient modifié Google Maps pour inciter des internautes à fournir leurs coordonnées bancaires.

Google avait l’habitude de permettre aux utilisateurs de soumettre des modifications à Google Maps via Map Maker : un service lancé par l’entreprise en 2008 qui permettait aux utilisateurs du monde entier d’uploader de nouvelles données vers son service de cartographie en ligne. L’entreprise a fermé Map Maker à compter du 31 mars 2017 et a intégré bon nombre de ses fonctionnalités dans Google Maps.

Comme Tech Crunch l’avait signalé à l’époque, suite à l’acte de vandalisme ayant mis en scène le robot Android, et à quelques autres attaques de spam, Google a temporairement arrêté Map Maker pour renforcer la sécurité. L’entreprise a fini par le fermer complètement, car il faisait doublon avec les Local Guides de Google : un programme qui récompense les utilisateurs expérimentés pour les mises à jour de Google Maps et qui vise principalement à améliorer les listings professionnels.

Mais alors que Map Maker a disparu, la possibilité de modifier des cartes existait toujours. À l’aide des Local Guides, les utilisateurs peuvent toujours ajouter et modifier des lieux, partager des détails supplémentaires sur un endroit particulier, modérer des modifications, afficher l’état de leurs modifications et modifier des segments de route.

Selon la police du Maharashtra, en Inde, de nombreux cas de vandalisme sur Google Maps visant des coordonnées bancaires ont été signalés au cours du mois dernier. The Hindu a rapporté la semaine dernière qu’un groupe d’escrocs basé à Thane, une ville située juste à l’extérieur de Mumbai, avait modifié les listings de Maps pour afficher leur propre numéro de contact, puis avait volé des données confidentielles au niveau des comptes des personnes qui avaient appelé ce fameux numéro.

Balsing Rajput, surintendant de la police au sein du département de la cyber-police de l’État, a déclaré à la presse :

Nous avons reçu au moins trois plaintes de la Bank of India [BoI] au cours du dernier mois. Dans les trois cas, nous avons immédiatement informé les autorités de Google. 

Rajput a déclaré que les escrocs avaient parlé aux gens de données telles que leurs PIN (Personal Identification Number) ou les numéros CVV de leurs cartes de crédit, ce qui leur a permis de retirer de l’argent des comptes des victimes.

Un porte-parole de la BoI a déclaré que la banque demandait aux gens de ne pas utiliser Google Maps et d’aller directement sur son site afin de trouver les coordonnées de leurs contacts :

Une fois que ces incidents nous ont été signalés, nous avons modifié les coordonnées des listings de succursales sur Google Maps. Nous avons demandé aux utilisateurs d’utiliser uniquement le site web officiel de Bank of India pour rechercher les coordonnées d’une succursale.  

Nous essayons de régler ces problèmes le plus rapidement possible, a déclaré un porte-parole de Google à The Hindu :

Dans l’ensemble, permettre aux utilisateurs de suggérer des modifications permet de disposer d’informations complètes et à jour, mais nous reconnaissons qu’il peut y avoir occasionnellement des inexactitudes ou de mauvaises suggestions de modifications. Lorsque cela se produit, nous faisons de notre mieux pour régler le problème le plus rapidement possible. Le centre de sécurité de Google met à disposition des conseils pour aider les consommateurs à rester en sécurité en ligne.  

Pas de surprise ici : le centre de sécurité de Google ne dit pas aux visiteurs de ne pas faire confiance aux informations qu’ils obtiennent via Google Maps, mais il offre au moins un conseil utile pour éviter ces fraudeurs : méfiez-vous des demandes de renseignements personnels.

Ne répondez pas aux emails, aux messages instantanés ou aux fenêtres pop-up suspectes qui vous demandent des données personnelles, telles que des mots de passe, des numéros de compte bancaire ou de carte de crédit, ni même votre date de naissance. Même si le message provient d’un site de confiance, tel que votre banque, ne cliquez jamais sur le lien et n’envoyez jamais de réponse. Il est préférable d’accéder directement à leur site web ou à leur application pour se connecter à votre compte.  

N’oubliez pas que les sites et services officiels n’enverront pas de messages vous demandant d’envoyer des mots de passe ou des données financières par email. 

… Et les opérateurs de téléphonie officiels rattachés à des banques, elles aussi officielles, ne devraient pas non plus vous demander vos PINs ou CVVs.

Mais tout le monde n’aura pas ce réflexe de sécurité lorsqu’il sera au téléphone avec un virtuose malhonnête de la communication.

Je ne peux pas imaginer que Google décide de stopper cette possibilité, que les utilisateurs ont, d’apporter des modifications dans Google Maps : ses revenus publicitaires sont déterminés par le fait de savoir où nous allons et ce que nous pensons. Mais l’entreprisse ne devrait-elle pas au moins verrouiller les informations concernant des endroits très ciblés par des scammeurs financiers, tels que les banques ?


Billet inspiré de Google Maps scammers put their own phone numbers onto bank listings, sur Sophos nakedsecurity.