L’administration fiscale ne vous demandera jamais votre numéro de carte bancaire, alors ne tombez pas dans le piège de cet email phishing aux couleurs des impôts. Pour cette fois, l’arnaque est très ressemblante et pourrait tromper plus d’une personne
La saison des déclarations d’impôts vient toujours avec son lot de phishings, et les Français n’y échapperont pas en 2021. À deux reprises en ce début de mois de mai, la rédaction du site Cyberguerre-Numerama a reçu un email intitulé « ne_pas_repondre@dgfipfinances.gouv.fr», qui prétend être une « lettre d’information de votre status sur impots.gouv.fr».
« Après les derniers calculs de vos droits, nous vous annonçons que vous êtes admissible à recevoir un remboursement sur la carte enregistrée sur votre espace client », peut-on lire. Soit disant, le destinataire serait en attente d’un remboursement de 490 euros de la part de la Direction générale des Finances publiques. L’email lui donne même un numéro de référence, GOUV-N°0038533-997, comme s’il avait commandé sur un service marchand.
D’après le message, les impôts n’auraient pas encore remboursé le destinataire, car le code postal enregistré sur son espace client ne correspondrait pas à celui associé à son compte bancaire. Autrement dit, l’email lui propose de l’argent facile : il n’a qu’à se connecter à son compte, changer son code postal, et il recevra 490 euros !! Bien entendu, tout est faux.
Des signaux d’alerte masqués par l’appât du gain
Les escrocs tirent ici sur la ficelle du gain facile : elle vise à pousser la cible à ignorer certains signaux d’alerte, car elle voudra être sûre de ne pas manquer une opportunité en or. Et pourtant, ces signaux d’alerte sont nombreux :
- Le message comporte quelques fautes de grammaire, qui peuvent cependant passer inaperçues à première lecture.
- L’auteur du message utilise le mot « espace client » pour désigner l’espace particulier sur impots.gouv.fr. C’est un vocabulaire marchant que n’utiliserait jamais un service public.
- Le service des impôts ne connaît pas votre numéro de carte bancaire, et il n’est pas possible de l’enregistrer sur son espace personnel. Le scénario des escrocs ne tient donc pas la route, mais faut-il encore le savoir.
- Si l’expéditeur s’affiche comme « Direction générale des Finances publiques », l’adresse qui y est associée, «contact@dgfipservicepublic.org», n’est pas l’adresse officielle puisque l’extension du domaine en .org désigne le plus souvent des organisations non gouvernementales. En revanche, les auteurs du phishing maintiennent la confusion en indiquant une adresse légitime de la DGFIP, «ne_pas_repondre@dgfipfinances.gouv.fr», en objet de l’email.
Les malfrats n’ont pour autant pas complètement raté leur message de phishing : ils utilisent la même police de caractères que les emails du service des impôts, et ils renvoient vers les comptes officiels de la DGFIP sur les réseaux sociaux. Une personne qui lirait l’email en diagonale pourrait se faire piéger, d’autant plus que le lien de phishing est bien mis en avant sur les mots «Soumettre votre demande».
Un site frauduleux presque convaincant
En cliquant sur le lien, on aboutit sur une copie du site des impôts, qui nous propose soit de nous connecter à notre compte en indiquant email et mot de passe, soit de créer notre compte à partir de différents numéros fiscaux.
Si la charte graphique est respectée, l’adresse de la page révèle immédiatement la supercherie, pour peu qu’on s’y intéresse. Nous sommes sur «kydsjqt.cluster030.hosting.ovh[.]net», et non sur « cfspart.impots.gouv.fr », la page d’authentification officielle.
Après avoir entré email et mot de passe, nous sommes orientés vers une seconde page, plus soignée. On nous demande cette fois de remplir notre « formulaire de remboursement électronique » avec des informations personnelles (nom, prénom, date de naissance, adresse, numéro de téléphone) d’une part, et nos coordonnées bancaires d’autre part. Une fois ces informations renseignées, le site nous demande d’indiquer un code supplémentaire que nous aurions reçu par téléphone.
Bien sûr, toutes les informations que nous avons données atterrissent sur les serveurs des malfrats, et nous ne recevrons aucun code ni aucun remboursement…
Que faire si je suis tombé dans le piège ?
- Si vous avez juste cliqué sur le lien, vous n’avez rien à craindre.
- Si vous avez donné vos identifiants de connexion, changez-les le plus rapidement possible.
- Si vous avez donné vos informations de carte bancaire, faites opposition au plus vite sur votre carte. Votre banque dispose sûrement d’un service dédié par téléphone.
- Faites une déclaration de fraude à la carte bancaire en ligne sur la plateforme Perceval de la gendarmerie si vous relevez une transaction frauduleuse sur votre compte.
- Si vous avez donné votre numéro de téléphone, redoublez de vigilance sur les appels et SMS que vous recevez.
Source : Cyberguerre/Numerama – Un remboursement de 490€ des impôts ? Attention à cet email de phishing